【IT168 技术】摘要：这些年来,互联网安全已经越来越受到人们的普遍关注。解决用户生命周期管理中的复杂性的方法已经成为安全的关键。IBM? Security?Identity Manager提供了一个安全、自动而且基于策略的用户管理解决方案，用于在整个IT基础架构内管理用户角色、身份和访问权。这一安全的身份管理软件能够让组织轻松部署使用，同时能帮助组织更好地遵守法规、管理风险和支持安全协作。通过IBM Security Identity Manager，将有助于客户构建一个集中式的用户管理设施，从而提高最终生产率和降低管理成本。

　　Identity Manager可通过自动化、用户自助服务和其他创新来节省成本和提高生产力。

　　自动管理整个用户生命周期(从注册到终止)的角色、账户和访问权。这项功能可以减少间接成本并消除人工错误。

　　通过预配置策略和模版加速新应用程序应用和用户注册。该软件可在数分钟而不是数天内为新用户提供所需资源。

　　提供自助服务界面，以便用户自行修改密码和个人信息。这可减少帮助成本并提高IT员工的效率。

　　建立指责分离以增强安全性与合规性。它可以结合各种需求，防止业务与管理用户访问权的角色和配置策略之间发生冲突。

　　通过定期纠正工作流程来纠正和去除不合规的访问权，或者通过基于角色的访问控制策略来实现。这一强大的功能可提供精密的，对审计人员友好的详细信息，以显示合规性。

▲图1 ISIM技术架构

　　作者分成ISIM环境部署，adapter的配置以及workflow的设计和policy的订制三篇文章对ISIM进行详细探讨。本篇文章根据作者的实际经验，系统详尽的介绍ISIM 6.0在Windows Server 2008环境的搭建部署过程，按照依赖次序循序渐进的展开，帮助用户完成对ISIM从理论认知到实践操作。文章主要包括如下部分：

　　前期准备

　　DB2的安装部署

　　WebSphere Application Server的安装配置

　　Tivoli Directory Server的安装配置

　　Tivoli Directory Integrator的安装配置

　　IBM Security Identity Manager的安装配置

　　总结

　　1. 前期准备

　　IBM安全身份管理解决方案主要部件包括IBM安全身份管理器服务器和必需以及可选的中间件组件,包括适配器用以提供接口来管理资源。TDS将本机搭建成一个LDAP服务器，配合TDI集成来自目录、数据库、协作系统、应用和其他数据源的数据，构建权威的数据基础架构。

▲图2 ISIM主要组成

　　IBM官方介绍一套最基础功能的ISIM产品至少包括如下组件：

　　A database

　　A directory server

　　Tivoli Directory Integrator (可选)

　　WebSphere Application Server

　　本文主要选取如下软件环境进行讲解。希望在操作前读者可以对产品的构成和软件的功能有一些全面的了解。从而对整个产品结构有一个清晰的概念和整体的把握。

　　IBM DB2 Enterprise Server Edition Version 9.7 用来存储包括时间表和审计数据等存储事务和历史数据在数据库中。

　　WebSphere Application Server and Network Deployment Manager Version 7.0 是IBM安全身份管理环境的主要组成部分。WAS运行Java虚拟机，为企业应用程序代码提供运行时环境。

　　IBM Tivoli Directory Server Version 6.3 存储用户帐户和组织数据但不是调度和审计数据。

　　IBM Tivoli Directory Integrator Version 7.1.1 用来同步和管理应用程序或目录资源之间的信息交换。

　　IBM Security Identity Manager Version 6.0.0.0 提供一组异构资源的身份。这些资源可能是操作系统、数据存储或其他应用程序。

　　2. DB2的安装配置

　　IBM DB2 Enterprise Server Edition 是一个旨在处理大中型企业服务器高需求工作负载的数据库服务器软件。DB2 Enterprise Server 可跨多个工作负载交付业内领先的性能，同时降低管理、存储、开发和服务器成本。

　　2.1 DB2 v9.7的安装

　　按照默认程序安装DB2 Enterprise Server Edition Version 9.7，确保过程顺利结束。

　　图3 db2安装完成

　　2.2 DB2 修复包Fix Pack 4的安装

　　升级DB2 9.7到ISIM6.0支持的版本 Fix Pack 4，选择在已存在的db上操作，继续选中升级db2信息之后启动升级程序直至完成。

　　图4 升级已安装的db2

　　运行命令db2level验证当前版本信息，确保升级成功。

　　2.3 创建ISIM的DB2实例

　　出于操作简单，统一规范并且可追溯错误的目的，作者推荐使用ISIM中间件配置工具cfg_itim_mw.exe配置。选择配置db2数据库。

　　图5 选择配置db2

　　提供如下信息以db2管理员的身份创建ISIM需要的实例:

　　DB2 administrator ID / instance name : db2admin

　　DB2 administrator password : password (输入密码以db2admin账号身份连入数据库)

　　DB2 server database home : C: (db2数据库文件存放目录)

　　DB2 database name : itimdb (默认)

　　Identity Manager Database User ID : itimuser (默认)

　　Password for Identity Manager Database User ID : password (为itimuser设置密码)

　　配置完成选择"是"确认新数据库db2admin取代已存在的DB2。

　　图6 创建数据库实例

　　预览配置的实例信息，信息无误选择下一步开始创建，稍等片刻，配置成功完成。

　　图7 预览db2实例配置

　　注意：为了系统长期稳定服务，配置完成后，把新创建的itimuser账号设置成永不过期。

　　当然，也可以用如下命令手动创建itimdb数据库表。这里不做过多赘述。

　　db2 create database itim_dbname using codeset UTF-8 territory us

　　db2 connect to itim_dbname user itim_dbadmin_name using itim_dbadmin_password

　　db2 create bufferpool ENROLEBP size automatic pagesize 32k

　　db2 update db cfg for itim_dbname using logsecond 12

　　db2 update db cfg for itim_dbname using logfilsiz 10000

　　db2 update db cfg for itim_dbname using auto_runstats off

　　db2 disconnect current

　　3. WebSphere Application Server的安装配置

　　IBM WebSphere Application Server 为从前台到后台的应用(无论是移动、Web、云还是关键任务型企业应用)提供服务，支持系统间的无缝交互。IBM WebSphere Application Server Network Deployment 为大规模应用部署提供一个高级、灵活的运行时环境。它为关键业务型应用提供近乎不间断的可用性，以及高级性能和管理功能。为软件生命周期(包括应用部署和测试)提供了改进的集成。可以智能地管理您的应用环境，更快交付丰富的用户体验。

　　3.1 WAS 7.0的安装

　　根据需求选择安装WAS环境，继而选择WAS应用服务器。

　　配置WAS 管理员账号，wasadmin ，设置登入密码password。按照默认设置完成WAS的安装。

　　图8 设置WAS管理员账户信息

　　3.2 WAS 7.0 fp23修复升级

　　首先需要安装WAS升级程序，按照默认选项安装完成之后启动升级WAS。升级WAS 7.0 到ISIM6.0支持的版本 fp23，读取修复包信息，选择要安装的修复包。等待安装完成。

　　图9 安装WAS修复包fp23

　　WAS_PROFILE_HOME\firststeps\firststeps.bat 进入WAS第一步面板，验证安装，

　　WAS_PROFILE_HOME\bin\startServer.bat server_name开启服务器，

　　WAS_PROFILE_HOME\bin\versionInfo.bat验证版本

　　用wasadmin登录管理员控制台http://localhost:9060/ibm/console，核对当前版本。

　　图10 验证was登录核对升级版本

　　选择安装IBM HTTP Server和WebSphere Web Server plug-in .此处不予赘述。

　　4. Tivoli Directory Server的安装配置

　　IBM Tivoli Directory Server 为您的企业安全计划提供平台。该企业身份管理软件使用轻量级目录访问协议 (LDAP)。IBM Security Directory Server 提供一个可信的身份数据基础架构，用于进行身份验证。

　　IBM Security Directory Server 可提供：

　　业界标准的架构和广泛的平台支持，适用于各种操作系统和应用以及各种环境。

　　强大的可扩展性和灵活性，使用 IBM DB2? 技术和内置的代理服务器支持上亿条目。

　　强大的可用性，支持全球在线应用(例如，消费者驱动的 Web 服务)的身份数据基础架构。

　　能够帮助您在云中管理身份。

　　健壮的审计和报告，通过连接到 IBM QRadar? SIEM 提供深入洞察，并利用样本报告，帮助更透彻地了解存储库。

　　4.1 Tivoli Directory Server 6.3安装

　　选择自定义安装"Custom"作为安装类型。选择需要安装的的特征模块。系统会自动检测到已安装的WAS信息，把web administrator tool部署在WAS上。

　　图11 选择安装的TDS组件

　　等待操作结束，继续安装WebSphere MQ fix pack，gsk8ssl64和gsk8crypt64 。

　　4.2 Tivoli Directory Server 6.3 配置

　　用ISIM中间件配置工具cfg_itim_mw.exe运行配置。

　　选择配置TDS属性 “Configure IBM Tivoli Derictory Server ”。

　　提供详细信息来创建ISIM需要的实例:

　　Directory server administrator ID / instance name : itimldap (default)

　　注意: 为了系统长期有效，需要把账号设置成永不过期.

　　Directory server administrator password : password

　　Directory server database home : C: (this has to be a drive letter)

　　Directory server database name : ldapdb2 (default)

　　Encryption seed : IamanEncryptionseed (提供一个用来加密ISIM密码和其他敏感信息的密码锁, 一定要牢记改密码，便于以后在不同的TDS之间迁移数据甚至整个数据库实例. )

　　图12 配置LDAP实例信息

　　在下一页属性，提交如下LDAP信息:

　　Administrator DN : cn=root (默认)

　　Administrator DN password : password

　　User-defined suffix : dc=com(默认)

　　Non-SSL port : 389 (默认)

　　图13 配置TDS信息

　　预览配置信息确认无误后提交。

　　运行ITDS_HOME\sbin\idsxinst ，开启TDS新创建的实例。

　　图14 开启TDS新实例

　　用默认账号：superadmin 默认密码：secret

　　登录Web Administration Tool： http://localhost:12100/IDSWebApp/。

　　配置管理控制台机器，添加TDS所在机器信息，

　　图15 配置本机TDS到Web Administration Tool

　　配置完成保存退出。重新返回登录窗口会看到新配置的LDAP服务器信息，输入用户DN和密码，登入TDS验证配置成功。

　　图16 登入本机目录服务器

　　5. Tivoli Directory Integrator的安装配置

　　IBM Security Directory Integrator 帮助您通过集成来自目录、数据库、协作系统、应用和其他数据源的数据，构建权威的数据基础架构。

　　IBM Security Directory Integrator：

　　利用集成模板和工具，统一身份孤岛，形成权威的身份库。

　　通过混合方法简化目录迁移和并存，以帮助解决虚拟目录场景。

　　提供开放式同步架构，以支持多供应商 IT 基础架构。

　　减少目录集成成本并提高其投资收益率 - 帮助管理私有云和公共云中的身份基础架构。

　　为平台、操作系统、协议和标准提供广泛的支持。

　　5.1 Tivoli Directory Integrator 7.1.1安装

　　选择常规安装"Typical"作为安装类型。如果没有特殊需求可以保持默认启用的系统端口。

　　图17 TDI服务器启用的默认端口

　　配置Integrated Solutions Console SE启用的端口，通常为默认。一直向下进行完成安装。

　　5.2 TIV-TDI-FP0001 修复升级

　　讲安装包拷贝到TDI_install_dir/bin/路径下。运行applyUpdates.bat -update TDI-7.1.1-FP0001.zip命令。确认升级完成没有报错。

　　TDI_install_dir/bin/applyUpdates.bat -queryreg检验升级后信息，版本为7.1.1.1则升级验证成功。

　　添加环境变量IDS_LDAP_TDI_HOME = C:\Program Files\IBM\TDI\V7.1.1\

　　6. IBM Security Identity Manager的安装配置

　　IBM Security Identity Manager 支持组织在整个企业内开展有效的身份管理和治理。该解决方案可通过减少身份欺诈的风险，帮助增强合规性与安全性。它可在整个用户生命周期内自动创建、修改、重新认证和终止用户特权，并支持基于策略的密码管理。它包含全新的企业友好型用户界面和报告工具，以帮助管理者做出更好的治理决策。作为 IBM Security Systems 产品服务组合的一部分，IBM Security Identity Manager 可提供智能的身份和访问保障。

　　6.1 IBM Security Identity Manager 6.0.0.0安装

　　默认路径进行安装C:\Program Files (x86)\IBM\isim。选择单机WAS环境。系统自动检测WAS路径。

　　配置Identity Manager系统用户，默认名称isimsystem，输入密码。

　　图18 配置Identity Manager系统用户

　　配置数据库信息。指定密钥存储的密码。输入keystore密码来解锁IBM安全身份管理器的密钥库文件。这个文件库用于加密IBM安全身份管理敏感数据的加密密钥。

　　根据需求选择是否在IBM Tivoli Directory Integrator上安装代理适配器。选择是否安装Shared Access Module窗口。

　　接受默认目录C:\Program Files (x86)\ibm\tivoli\common Tivoli Common Directory (所有相关适用文件的中心存储区，比如日志和捕获第一次失败数据)。

　　提交DB2数据库的相关属性：

　　主机名称 : DB2所在的主机名称，本机配置localhost

　　端口: 50002 (可以查看TCP/IP Service 名称: db2 get dbm cfg | findstr -i service

　　通过上一句命令的输出在/etc/services文件中找对应的端口号)

　　数据库名称 : itimdb

　　管理员账号: db2admin

　　管理员密码: password

　　测试连接，确保数据库测试连通成功。

　　提供 Identity Manager 用户信息：

　　User ID : itimuser

　　User Password : p@ssw0rd

　　图19 配置Identity Manager 用户信息

　　在LDAP服务器配置页，提供LDAP实例信息属性，

　　Principal DN : cn=root

　　Password : p@ssw0rd

　　Host Name : <LDAP Server name>

　　Port : 389

　　测试联通成功 ，提供目录信息：

　　Number of hash buckets : 1 (default)

　　Name of your organization : <Name>

　　Default Org Short Name : <Short name>

　　Identity Manager DN Location : dc=com

　　图20 配置TDS相关信息

　　点击继续自动安装，在邮件属性栏，提供相关信息。

　　图21 配置邮件服务器相关信息

　　提交信息后，程序会自动将 ISIM 6.0部署在WebSphere上，等待安装成功。

　　图22 等待ISIM部署到WAS

　　6.2 登录ISIM控制台

　　在导航栏用默认账号密码User id : itim manager Password : secret 登入ISIM控制台，访问地址：

　　http://ip address:port/itim/console/main

　　图23 成功部署ISIM系统

　　至此，ISIM 6.0的安装部署全部完成。

　　以下为作者统计的一些需要注意的技术细节，希望对大家实践中问题处理有帮助。

　　1.牢记所有软件的账号密码。后续配置都会用到。涉及到软件服务的系统账号，最好改为永不过期。

　　2.DB2数据库连接问题。确保db数据库启用db2start

　　3.WAS里禁用Performance Monitoring Infrastructure (PMI) tracking

　　4.ISIM数据可以在TDS控制台编辑，包括ISIM登录账号数据和管理的系统账号。所以系统登录验证失败的话可以看下TDS service是否启用。

　　5.如果要用TDI手动同步账号入库的话，切记要把TDI安装生成的系统服务tdisrv停止。

　　6.ISIM账号第一次登录需要改密码，所以用itim manager登录之后要把首次登录改密码选项去掉，给end user配置下显示视图，确保所有用户登录都可以正常访问。

　　7. 总结

　　本文作者根据自己的实际经验，介绍了基于Windows Server 2008的ISIM 6.0安装部署方案。经过对产品的介绍再到实际操作相结合，可以使读者对ISIM 产品有一个比较全面的认识。通过介绍项目的前期准备，配置过程和需要注意的技术细节，环环相扣的操作给读者带来的由浅入深的认知，可以举一反三根据实际环境和具体需求去完成自己的实践过程。

　　整体来说本文的目的在于给专业的技术人员在安全管理方面一个更智慧的选择。通过自己的实践经历帮助读者更高效快速准确的部署和应用ISIM。应用如此安全、自动而且基于策略的用户管理解决方案。进而帮助公司提高工作效率、运营成本和客户满意度，是集安全性和稳定性于一体的独特体验。

　　8. 参考资料

　　1、IBM知识中心文档

　　http://www-01.ibm.com/support/knowledgecenter/SSRMWJ_6.0.0

　　2、IBM红皮书

　　http://www.redbooks.ibm.com/abstracts/sg246996.html?Open

　　9. 作者简介

　　时培宇

　　IT安全技术工程师

　　任职于某大型外资IT企业，从事服务器，中间件，以及云计算环境的安全流程控制和部署。熟悉Redhat，AIX，Ubuntu，Esx，Windows等主流的操作系统，熟悉IBM的服务器和Security相关产品。熟悉主流的安全管理规范。