Tivoli Identity Manager

Transcription

1 Tivoli Identity Manager Version 4.6 Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration SC

2

3 Tivoli Identity Manager Version 4.6 Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration SC

4 Important Avant d utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à l Annexe C, «Remarques», à la page 67. Première édition - juillet 2005 Réf. Us : SC LE PRESENT DOCUMENT EST LIVRE EN L ETAT. IBM DECLINE TOUTE RESPONSABILITE, EXPRESSE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE QUALITE MARCHANDE OU D ADAPTATION A VOS BESOINS. Certaines juridictions n autorisent pas l exclusion des garanties implicites, auquel cas l exclusion ci-dessus ne vous sera pas applicable. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu ils y seront annoncés. Pour plus de détails, pour toute demande d ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v (serveur IBM en France) v (serveur IBM au Canada) v (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité Tour Descartes Paris-La Défense Cedex 50 Copyright IBM France Tous droits réservés. Copyright International Business Machines Corporation 2003, All rights reserved.

5 Table des matières Avant-propos v A qui s adresse ce guide v Publications et informations connexes......v Bibliothèque Tivoli Identity Manager.....v Publications sur des produits prérequis.... vii Publications connexes viii Accès aux publications en ligne ix Accessibilité ix Informations relatives au support ix Conventions utilisées dans ce guide......ix Conventions typographiques x Différences entre les systèmes d exploitation...x Définitions des variables de répertoire (dont HOME) x Chapitre 1. Présentation de l adaptateur de la base de données Oracle Fonctionnalités de l adaptateur Chapitre 2. Installation et configuration de l adaptateur de la base de données Oracle Conditions préalables Installation de l adaptateur Importation du profil de l adaptateur dans le serveur Tivoli Identity Manager Importation du profil de l adaptateur Création d un service de base de données Oracle..7 Configuration de l adaptateur Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 11 Démarrage de l outil de configuration de l adaptateur Affichage des paramètres de configuration Modification des paramètres de configuration du protocole Configuration de la notification des événements..16 Configuration des déclencheurs de notification d événements Modification d un contexte de notification d événements Modification de la clé de configuration Modification des paramètres de consignation de l activité Modification des paramètres du registre Modification des paramètres de registre non chiffrés Modification des paramètres de registre chiffrés 24 Modification des paramètres avancés Affichage des statistiques Modification des paramètres de page de codes..26 Accès à l aide et aux options supplémentaires...27 Chapitre 4. Modification des services Oracle Accès au menu principal de l outil de configuration de services Affichage des services Oracle actuels Ajout d un nouveau service Oracle Exemple d ajout d un service Oracle Modification d un service Oracle Exemple de modification d un service Oracle..34 Suppression d un service Oracle Exemple de suppression d un service Oracle..35 Test d une connexion Oracle Exemple de test d une connexion Oracle Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle Présentation de l authentification SSL et des certificats numériques Clés privées, clés publiques et certificats numériques Certificats d auto-signature Formats des certificats et des clés Utilisation de l authentification SSL Configuration des certificats pour l authentification SSL Configuration des certificats pour l authentification SSL unidirectionnelle Configuration des certificats pour l authentification SSL bidirectionnelle Configuration des certificats lorsque l adaptateur agit en tant que client SSL Gestion des certificats SSL à l aide de l outil CertTool Démarrage de l outil CertTool Génération d une clé privée et d une demande de certificat Installation du certificat Installation du certificat et de la clé à partir d un fichier PKCS Affichage des certificats installés Installation d un certificat de CA Affichage des certificats de CA Suppression d un certificat de CA Affichage des certificats enregistrés Enregistrement d un certificat Annulation de l enregistrement d un certificat..49 Exportation d un certificat et de la clé vers le fichier PKCS Chapitre 6. Personnalisation de l adaptateur de la base de données Oracle Copyright IBM Corp. 2003, 2005 iii

6 Copie du fichier OracleProfile.jar et extraction des fichiers Création d un nouveau fichier JAR et installation des nouveaux attributs sur le serveur Tivoli Identity Manager Gestion des mots de passe lors de la restauration de comptes Chapitre 7. Mise à niveau de l adaptateur de la base de données Oracle ou d ADK Mise à niveau de l adaptateur de la base de données Oracle Mise à niveau d ADK Fichiers journaux Chapitre 8. Désinstallation de l adaptateur de la base de données Oracle Annexe A. Attributs de l adaptateur.. 59 Descriptions des attributs Attributs par actions de l adaptateur de la base de données Oracle Database Login Add Database Login Change Database Login Delete Database Login Suspend Database Login Restore Reconciliation Annexe B. Informations relatives au support Recherche dans les bases de connaissances Recherche dans le centre de documentation sur le système local ou le réseau Recherche sur Internet Obtention de correctifs Accès au service de support logiciel IBM Evaluation de l impact commercial de votre problème Description de votre problème et tentative d identification de son origine Soumission de votre problème au service de support logiciel IBM Annexe C. Remarques Marques Index iv IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

7 Avant-propos A qui s adresse ce guide L adaptateur de la base de données Oracle d IBM Tivoli Identity Manager (adaptateur de la base de données Oracle) permet d assurer la connectivité entre le serveur Tivoli Identity Manager et un réseau de systèmes exécutant la base de données Oracle. Lorsque vous avez installé et configuré l adaptateur, Tivoli Identity Manager gère l accès aux ressources de la base de données Oracle avec le système de sécurité de votre site. Le présent guide explique comment installer et configurer l adaptateur de la base de données Oracle. Remarque : Le programme utilisé pour les connexions de la ressource gérée au serveur Tivoli Identity Manager se nomme dorénavant un adaptateur. Le terme adaptateur remplace le terme agent précédemment utilisé. L interface utilisateur utilisée pour la configuration de l adaptateur utilise toujours le terme agent. Le présent guide s adresse aux administrateurs de la sécurité de la base de données Oracle chargés d installer des logiciels sur les systèmes informatiques de leur site. Les lecteurs sont supposés connaître les concepts de Windows et de la base de données Oracle. La personne qui exécute la procédure d installation de l adaptateur de la base de données Oracle doit maîtriser les normes propres aux systèmes installés sur son site et disposer des connaissances et de l expérience propres à Windows et Oracle. Les lecteurs doivent également être capables d effectuer les tâches de routine du système Windows et Oracle et les tâches d administration courantes de la sécurité. Publications et informations connexes Lisez les descriptions de la bibliothèque Tivoli Identity Manager. Pour déterminer les publications supplémentaires qui pourraient vous être utiles, prenez connaissance des sections «Publications sur des produits prérequis», à la page vii et «Publications connexes», à la page viii. Une fois que vous avez identifié les publications dont vous avez besoin, reportez-vous aux instructions de la section «Accès aux publications en ligne», à la page ix. Bibliothèque Tivoli Identity Manager Les publications de la bibliothèque de documents techniques de Tivoli Identity Manager sont classées selon les catégories suivantes : v informations sur les versions ; v assistance utilisateur en ligne ; v installation et configuration du serveur ; v identification des incidents ; v suppléments techniques ; v installation et configuration de l adaptateur. Informations sur les versions : v IBM Tivoli Identity Manager - Notes sur l édition Copyright IBM Corp. 2003, 2005 v

8 Décrit la configuration logicielle et matérielle pour Tivoli Identity Manager et contient d autres informations de support, notamment sur les correctifs. v IBM Tivoli Identity Manager Documentation Read This First Card Répertorie l intégralité des publications relatives à Tivoli Identity Manager. Assistance utilisateur en ligne : Fournit des rubriques d aide en ligne ainsi qu un centre de documentation pour toutes les tâches d administration de Tivoli Identity Manager. Le centre de documentation inclut les informations qui figuraient précédemment dans les manuels IBM Tivoli Identity Manager Configuration Guide et IBM Tivoli Identity Manager Policy and Organization Administration Guide. Installation et configuration du serveur : Le manuel IBM Tivoli Identity Manager Server - Guide d installation et de configuration pour environnements WebSphere fournit les informations relatives à l installation et à la configuration de Tivoli Identity Manager. Les données de configuration auparavant disponibles dans le manuel IBM Tivoli Identity Manager Configuration Guide sont désormais réparties entre le guide d installation et le centre de documentation IBM Tivoli Identity Manager Information Center. Identification des incidents : Vous pouvez consulter le manuel IBM Tivoli Identity Manager - Guide d identification des incidents pour rechercher des informations concernant l identification des incidents, la journalisation et les messages pour le produit Tivoli Identity Manager. Suppléments techniques : Les suppléments techniques suivants sont fournis par les développeurs ou par d autres groupes concernés par l utilisation de ce produit : v IBM Tivoli Identity Manager Performance Tuning Guide Contient les informations nécessaires pour configurer le serveur Tivoli Identity Manager de façon adéquate pour un environnement de production. Ce manuel est disponible sur Internet à l adresse ci-après : Cliquez sur la lettre I dans la liste A-Z des produits, puis sur le lien Tivoli Identity Manager. Recherchez, dans le centre de documentation, la section correspondant aux suppléments techniques. v Vous trouverez des Redbooks et livres blancs sur le site Web suivant : IBMTivoliIdentityManager.html Dans la section Self help, recherchez la catégorie Learn et cliquez sur le lien Redbooks. v Des notes techniques sont disponibles à l adresse : v Des guides pratiques (Field guides) sont fournis à l adresse suivante : vi IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

9 v Pour obtenir une liste plus complète des autres ressources Tivoli Identity Manager, effectuez une recherche parmi les travaux des développeurs IBM disponibles à l adresse suivante : Installation et configuration de l adaptateur : La bibliothèque de documents techniques du serveur Tivoli Identity Manager comprend aussi un ensemble de documents d installation évolutifs pour chaque plateforme pour les composants d adaptateur installés dans une mise en oeuvre du serveur Tivoli Identity Manager. Recherchez des adaptateurs sur Internet, à l adresse ci-dessous : Passport_Advantage_Home Cliquez sur Support & downloads. Cliquez sur le lien Downloads and drivers (sur la gauche), puis sur celui correspondant à la liste des adaptateurs actuellement disponibles. Compétences et formation : Au moment de la publication du présent manuel, les éléments complémentaires suivants étaient fournis en matière de compétences et de formations techniques : v un centre de compétences virtuel (Virtual Skills Center) pour les logiciels Tivoli sur Internet à l adresse suivante : ; v les récapitulatifs des formations aux logiciels Tivoli à l adresse Web ci-dessous : ; v un site d échanges techniques sur Tivoli à l adresse Web suivante : supp_tech_exch.html. Publications sur des produits prérequis Pour tirer au mieux parti des informations fournies dans le présent document, vous devez connaître les produits requis par le serveur Tivoli Identity Manager. Des publications sont accessibles à partir des sites suivants : v base de données Oracle v Systèmes d exploitation IBM AIX Sun Solaris Red Hat Linux Microsoft Windows Server Avant-propos vii

10 v Serveurs de base de données IBM DB2 Publications - Support : - centre de documentation : - Documentation : winos2unix/support/v8pubs.d2w/en_main - Famille de produits DB2 : - Groupes de correctifs : - Configuration système requise : Oracle Microsoft SQL Server v Applications serveur d annuaires IBM Directory Server en_us/html/ldapinst.htm Sun ONE Directory Server v WebSphere Application Server Des informations complémentaires sont fournies dans le répertoire du produit et sur Internet. v messagerie intégrée WebSphere v IBM HTTP Server connexes Des informations relatives au serveur Tivoli Identity Manager sont disponibles dans les publications suivantes : v La bibliothèque de logiciels Tivoli propose un grand nombre de publications Tivoli sous la forme de livres blancs, de feuilles de données, de modules de présentation, de Redbooks et de lettres d annonces. La bibliothèque de logiciels Tivoli est disponible à l adresse suivante : v Le Glossaire de logiciels Tivoli inclut les définitions de nombreux termes techniques liés aux logiciels Tivoli. Il se présente en version anglaise uniquement, via le lien Glossary situé dans la partie gauche de la page Web des ressources techniques pour les logiciels Tivoli : viii IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

11 Accessibilité Accès aux publications en ligne IBM met en ligne des publications pour Tivoli Identity Manager et tous les autres produits Tivoli sur le site Web du centre de documentation pour logiciels Tivoli, lorsque ces logiciels sont proposés sur le marché, puis chaque fois qu ils sont mis à jour. Ce centre de documentation est accessible à l adresse suivante : Cliquez sur la lettre I dans la liste A-Z des produits, puis sur le lien Tivoli Identity Manager pour accéder à la bibliothèque des produits. Remarque : Si vous imprimez des documents PDF sur du papier d un format différent du format lettre, activez, dans la fenêtre accessible via les options Fichier Imprimer, l option permettant à Adobe Reader d imprimer des pages au format lettre sur le papier que vous utilisez. La documentation du produit comprend les fonctionnalités d accessibilité suivantes : v La documentation est disponible au format PDF convertible pour permettre aux utilisateurs de faire appel à des logiciels lecteurs d écran. v Toutes les images disponibles dans la documentation sont associées à un texte de remplacement pour que les déficients visuels puissent comprendre leurs contenus. Informations relatives au support Les problèmes que vous pouvez rencontrer avec votre logiciel IBM doivent être résolus rapidement. IBM vous apporte le support dont vous avez besoin par différents biais : v Recherche dans les bases de connaissances : vous avez la possibilité d effectuer des recherches dans une importante collection de problèmes connus et solutions correspondantes, de notes techniques et d autres informations. v Obtention de correctifs : vous pouvez localiser les correctifs les plus récents disponibles pour votre produit. v Contact du service de support logiciel IBM : si vous ne parvenez toujours pas à résoudre votre problème et souhaitez demander l aide d un technicien IBM, vous pouvez prendre contact avec le service de support logiciel IBM de différentes façons. Pour plus d informations sur les méthodes de résolution des problèmes, reportez-vous à l Annexe B, «Informations relatives au support», à la page 63. Conventions utilisées dans ce guide Dans ce guide de référence, plusieurs conventions sont utilisées pour les termes et actions spéciaux et pour les commandes et chemins en fonction du système d exploitation. Avant-propos ix

12 Conventions typographiques Ce guide utilise les conventions typographiques ci-après : Gras Italique v Commandes en minuscules et commandes combinant majuscules et minuscules, difficiles à distinguer du texte tout autour v Commandes de l interface (cases à cocher, boutons de fonction, boutons d option, flèches d incrément, zones, dossiers, icônes, zones de liste, éléments des zones de liste, listes à plusieurs colonnes, conteneurs, commandes de menu, noms de menu, onglets, feuilles de propriétés) et libellés (par exemple, Conseil : et Considérations relatives au système d exploitation :) v Mots clés et paramètres dans le texte v Mots définis dans le texte v Mots mis en évidence (termes importants) v Nouveaux termes dans le texte (sauf dans une liste de définitions) v Variables et valeurs à fournir Espacement fixe v Exemples et exemples de code v Noms de fichier, mots clés en programmation et autres éléments difficiles à distinguer du texte tout autour v Messages et invites adressés à l utilisateur v Texte devant être saisi par l utilisateur v Valeurs d arguments ou options de commande Différences entre les systèmes d exploitation Le présent guide emploie la convention UNIX pour la spécification des variables d environnement et la syntaxe des répertoires. Sur une ligne de commande Windows, remplacez $variable par %variable% pour les variables d environnement, et les barres obliques (/) par des barres obliques inverses (\) dans les chemins d accès aux répertoires. Les noms des variables d environnement ne sont pas toujours identiques sous Windows et UNIX. Par exemple, la variable %TEMP% de Windows devient $tmp sous UNIX. Remarque : Si vous utilisez le shell bash sur un système Windows, vous pouvez utiliser les conventions UNIX. Définitions des variables de répertoire (dont HOME) Le tableau ci-après contient les définitions par défaut utilisées dans le présent guide pour représenter le niveau de répertoire HOME (personnel) des divers chemins d installation du produit. Vous pouvez personnaliser le répertoire d installation et le répertoire personnel de votre mise en oeuvre particulière. Dans ce cas, vous devez remplacer de manière appropriée la définition de chaque variable représentée dans ce tableau. La valeur du chemin d accès varie pour ces systèmes d exploitation : v Windows : lecteur:\program Files v AIX : /usr x IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

13 v Autre UNIX : /opt Variable de chemin d accès DB_INSTANCE_HOME Windows : Définition par défaut Description chemin d accès\ibm\sqllib UNIX : v AIX, Linux : /home/nom_instance_bd v Solaris : /export/home/nom_instance_bd LDAP_HOME v Pour IBM Directory Server Version 5.2 Windows : chemin d accès\ibm\ldap UNIX : AIX, Linux : chemin d accès/ldap Solaris : chemin d accès/ibmldaps chemin d accès/ibm/ldap v Pour IBM Directory Server Version 6.0 Windows : chemin d accès\ibm\ldap\v6.0 UNIX : chemin d accès/ibm/ldap/v6.0 AIX, Solaris Linux : opt/ibm/ldap/v6.0 v Pour Sun ONE Directory Server Windows : chemin d accès\sun\mps UNIX : /var/sun/mps Répertoire contenant la base de données Tivoli Identity Manager. Répertoire dans lequel est stocké le code du serveur d annuaire. Avant-propos xi

14 Variable de chemin d accès Définition par défaut Description IDS_instance_HOME Pour IBM Directory Server Version 6.0 Windows : lecteur\ ibmslapd-nom_propriétaire_instance La valeur correspondant au lecteur peut être C:\ sur les systèmes Windows. Quant à la variable nom_propriétaire_instance, elle peut être paramétrée sur ldapdb2. Par exemple, le fichier journal peut être accessible via le chemin d accès C:\idsslapd-ldapdb2\logs\ibmslapd.log. UNIX : INSTANCE_HOME/idsslapd-nom_instance Répertoire contenant l instance IBM Directory Server Version 6.0. Sous Linux et AIX, le répertoire personnel par défaut est /home/nom_propriétaire_instance. Sous Solaris, il s agit du répertoire /export/home/ldapdb2/idsslapdldapdb2. HTTP_HOME Windows : chemin d accès\ibmhttpserver UNIX : ITIM_HOME Windows : chemin d accès/ibmhttpserver chemin d accès\ibm\itim UNIX : WAS_HOME Windows : chemin d accès/ibm/itim chemin d accès\websphere\appserver UNIX : WAS_MQ_HOME Windows : chemin d accès/websphere/appserver chemin d accès\ibm\websphere MQ UNIX : chemin d accès/mqm WAS_NDM_HOME Windows : chemin d accès\websphere\ DeploymentManager UNIX : chemin d accès/websphere/ DeploymentManager Répertoire dans lequel est stocké le code relatif à IBM HTTP Server. Répertoire de base comportant le code de Tivoli Identity Manager, ainsi que la configuration et la documentation afférentes. Répertoire personnel pour WebSphere Application Server. Répertoire dans lequel est stocké le code relatif à WebSphere MQ. Répertoire personnel sur le gestionnaire de déploiement. xii IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

15 Variable de chemin d accès Tivoli_Common_Directory Windows : Définition par défaut Description chemin d accès\ibm\tivoli\common\ctgim UNIX : chemin d accès/ibm/tivoli/common/ctgim Emplacement dans lequel sont centralisés tous les fichiers liés à la facilité de gestion, tels que les journaux et les données FFDC (First-Failure Data Capture, outil de diagnostic de premier niveau). Avant-propos xiii

16 xiv IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

17 Chapitre 1. Présentation de l adaptateur de la base de données Oracle Un adaptateur est un programme qui sert d interface entre une ressource gérée et le serveur Tivoli Identity Manager. Les adaptateurs peuvent ou non se trouver dans la ressource gérée, et le serveur Tivoli Identity Manager gère l accès à la ressource à l aide de votre système de sécurité. La fonction des adaptateurs en tant qu administrateurs virtuels sécurisés sur la plateforme cible, exécutant des tâches telles que la création d ID de connexion ou la suspension de numéro et exécutant d autres fonctions d administrateurs, s exécute normalement en mode manuel. L adaptateur s exécute comme un service indépendamment du fait qu un utilisateur soit connecté ou non au serveur Tivoli Identity Manager. L adaptateur de la base de données Oracle d IBM Tivoli Identity Manager permet la connectivité entre le serveur Tivoli Identity Manager et un système exécutant la base de données Oracle. Ce présent guide d installation fournit toutes les informations de base nécessaires à l installation et à la configuration de l adaptateur de la base de données Oracle. Ce chapitre présente un aperçu général de l adaptateur et de ses fonctionnalités. Fonctionnalités de l adaptateur Vous pouvez utiliser l adaptateur de la base de données Oracle afin d automatiser les tâches administratives suivantes : v Création d un compte de la base de données Oracle. v Modification des comptes de la base de données Oracle. v Suppression des comptes de la base de données Oracle. v Suspension des comptes de la base de données Oracle. v Restauration des comptes de la base de données Oracle. v Rapprochement des comptes de la base de données Oracle avec les comptes Tivoli Identity Manager. Copyright IBM Corp. 2003,

18 2 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

19 Chapitre 2. Installation et configuration de l adaptateur de la base de données Oracle L installation et la configuration de l adaptateur de la base de données Oracle implique la réalisation de plusieurs étapes dans un ordre adéquat. Passez une nouvelle fois en revue les applications prérequises avant de démarrer la procédure d installation. Vous pouvez également créer un compte dans la ressource gérée pour l adaptateur à utiliser. Conditions préalables La tableau 1 identifie les configurations matérielle et logicielle requises et indique les droits d accès nécessaires pour installer l adaptateur de la base de données Oracle. Vérifiez que toutes les conditions préalables ont été respectées avant d installer l adaptateur de la base de données Oracle. Tableau 1. Conditions préalables à l installation de l adaptateur de la base de données Oracle Système v Un microprocesseur 32-bit x86. Système d exploitation v Windows 2000 v Un minimum de 256 Mo de mémoire. v Un espace disque libre de 300 Mo minimum. v Windows 2003 v Windows XP base de données Oracle v base de données Oracle 8i v base de données Oracle 9i v base de données Oracle 10g Remarque : L adaptateur prend en charge la base de données Oracle versions 8i, 9i et 10g fonctionnant sur des plateformes auxquelles le logiciel Oracle Client peut accéder. Logiciel Oracle Client Vous devez installer l une des versions suivantes du logiciel Oracle sur le système sur lequel l adaptateur Oracle fonctionne : v Oracle Client 8i v Oracle Client 9i v Oracle Client 10g Copyright IBM Corp. 2003,

20 Tableau 1. Conditions préalables à l installation de l adaptateur de la base de données Oracle (suite) Compte de service Oracle Pour chaque instance Oracle prise en charge par l adaptateur, vous devez fournir un compte Oracle et un mot de passe. Le compte Oracle doit disposer des privilèges et des rôles Oracle suivants : v GRANT ANY PRIVILEGE v GRANT ANY ROLE v CREATE SESSION v CREATE USER v ALTER USER v ALTER SYSTEM v DROP USER v SELECT ANY TABLE v SELECT ANY DICTIONARY Pour Oracle version 9i et 10g, les privilèges et les rôles Oracle suivants supplémentaires peuvent être accordés au compte de l adaptateur Oracle : v SELECT ON SYS.DBA_USERS v SELECT ON SYS.DBA_SYS_PRIVS v SELECT ON SYS.DBA_ROLE_PRIVS v SELECT ON SYS.DBA_TS_QUOTAS v SELECT ON SYS.DBA_ROLES Connectivité réseau v Réseau TCP/IP v SELECT ON SYS.DBA_PROFILES v SELECT ON SYS.DBA_TABLESPACES Autorité administrateur système v Pour des raisons de sécurité, IBM vous recommande d installer l adaptateur sur un système de fichiers Windows NT (NTFS). La personne qui effectue l installation de l adaptateur de la base de données Oracle doit disposer des droits d administrateur système pour exécuter les opérations indiquées dans le présent chapitre. serveur Tivoli Identity Manager Version 4.6 Il doit être capable de créer des comptes de service Oracle comme indiqué ci-avant. Installation de l adaptateur Vous pouvez télécharger les fichiers d installation de l adaptateur de la base de données Oracle de Tivoli Identity Manager sur le site Web d IBM. Pour connaître l adresse du site et les instructions de téléchargement, adressez-vous à votre partenaire commercial IBM. Pour installer l adaptateur, procédez comme suit : 1. Téléchargez le fichier d installation compressé de l adaptateur de la base de données Oracle à partir du site Web d IBM. 2. Extrayez le contenu du fichier dans un répertoire temporaire et naviguez jusqu à ce répertoire. 4 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

21 3. Démarrez le programme d installation à l aide du fichier setup.exe dans le répertoire temporaire. Par exemple, sélectionnez l option Exécuter dans le menu Démarrer et entrez le chemin C:\Temp\Setup.exe dans le champ Ouvrir. 4. Dans la fenêtre de bienvenue, cliquez sur Suivant. 5. Dans la fenêtre du contrat de licence, parcourez le contrat de licence et décidez si vous choisissez d accepter les termes du contrat. Si vous les acceptez, sélectionnez l option Accepter et cliquez sur Suivant. 6. Dans la fenêtre de sélection du répertoire de destination, indiquez l emplacement où vous souhaitez installer l adaptateur dans le champ Nom du répertoire. Vous pouvez accepter l emplacement par défaut ou cliquer sur Parcourir pour indiquer un répertoire différent. Cliquez ensuite sur Suivant. Figure 1. Fenêtre de sélection du répertoire de destination 7. Dans la fenêtre des noms de service Oracle, entrez les informations suivantes : le nom de service Oracle, le nom du compte Oracle et le mot de passe du compte Oracle. Ensuite, cliquez sur Suivant. Les instances d Oracle doivent être définies dans l ordre afin que l adaptateur puisse fonctionner correctement. Les noms de service sont sensibles à la casse. Oracle Service Name Le nom de service de l instance de base de données gérée par l adaptateur. Oracle Account Le nom du compte de service Oracle utilisé par l adaptateur pour gérer l instance Oracle. Account Password Le mot de passe du compte de service Oracle Chapitre 2. Installation et configuration de l adaptateur de la base de données Oracle 5

22 Remarque : Une fois l installation terminée, vous pouvez ajouter des noms de service supplémentaires que vous souhaitez que l adaptateur prenne en charge. Consultez les sections Chapitre 3, «Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager», à la page 11 et Chapitre 4, «Modification des services Oracle» pour plus d informations sur l ajout, la modification et la suppression des instances gérées. 8. Dans la fenêtre de récapitulatif de l installation, cliquez sur Suivant pour lancer l installation. 9. Dans la fenêtre indiquant la fin de l installation, cliquez sur Terminer pour quitter le programme. Importation du profil de l adaptateur dans le serveur Tivoli Identity Manager Avant de pouvoir ajouter un adaptateur en tant que service dans le serveur Tivoli Identity Manager, le serveur doit disposer du profil de l adaptateur afin de reconnaître l adaptateur comme un service. Les fichiers contenus dans l adaptateur de la base de données Oracle incluent le fichier JAR, OracleProfile.jar. A l aide de la fonction d importation du serveur Tivoli Identity Manager, vous pouvez importer le profil de l adaptateur dans le serveur en tant que profil de l adaptateur. Le fichier OracleProfile.jar comprend tous les fichiers nécessaires pour définir le schéma de l adaptateur, le formulaire de compte, le formulaire de service et les propriétés du profil. Importation du profil de l adaptateur Le profil de l adaptateur définit les types de ressources pris en charge par le serveur Tivoli Identity Manager. Vous devez importer le profil de l adaptateur dans le serveur Tivoli Identity Manager avant d utiliser l adaptateur de la base de données Oracle. Le profil sert à créer le service de l adaptateur de la base de données Oracle sur le serveur Tivoli Identity Manager et à communiquer avec l adaptateur. Avant de démarrer l importation du profil de l adaptateur, vérifiez que les conditions suivantes sont remplies : v Le serveur Tivoli Identity Manager doit être installé et en cours d exécution. v Vous devez disposer des droits root ou d administrateur sur le serveur Tivoli Identity Manager. Pour importer le profil de l adaptateur, procédez comme suit : 1. Connectez-vous au serveur Tivoli Identity Manager à l aide du compte qui dispose des droits requis pour effectuer les tâches administratives. 2. Dans la barre de navigation du menu principal, sélectionnez l onglet Configuration. 3. Dans la fenêtre de configuration, sélectionnez les onglets Importation/Exportation Importation. 4. Dans la fenêtre d importation, dans le champ Fichier à télécharger, indiquez l emplacement du fichier OracleProfile.jar ou cliquez sur Parcourir pour localiser le fichier. 5. Cliquez sur le lien Importer les données dans Identity Manager pour importer le profil de l adaptateur dans le serveur Tivoli Identity Manager. 6 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

23 v Si la procédure d importation du profil de l adaptateur se déroule correctement, le message suivant s affichera à l écran : L installation du profil est terminée. v Si la procédure d importation du profil de l adaptateur échoue, le message suivant s affichera à l écran : Echec de l installation du profil. Si vous recevez un message d erreur associé au schéma lors de l importation du profil de l adaptateur, le fichier trace.log contiendra les informations relatives à l erreur. L emplacement du fichier trace.log est indiqué dans les propriétés handler.file.filedir définies dans le fichier enrolelogging.properties de Tivoli Identity Manager installé dans le répertoire \data de Tivoli Identity Manager. Création d un service de base de données Oracle Lorsque vous avez importé le profil de l adaptateur dans le serveur Tivoli Identity Manager, vous devez créer un service d attribution des accès afin d autoriser Tivoli Identity Manager à communiquer avec l adaptateur. Pour créer un service d attribution des accès, procédez comme suit : 1. Connectez-vous au serveur Tivoli Identity Manager à l aide du compte qui dispose des droits requis pour effectuer les tâches administratives. 2. Dans la barre de navigation du menu principal, cliquez sur l onglet Attribution des accès. 3. Dans la fenêtre d attribution des accès, cliquez sur l onglet Gérer les services. 4. Dans la fenêtre de gestion des services, cliquez sur Ajouter. 5. Dans la liste des types de services, sélectionnez l option Profil Oracle DB et cliquez sur Continuer. Le formulaire de service Adaptateur Oracle DB apparaît à l écran. Le formulaire contient les champs suivants : Nom de service Spécifiez un nom qui définit le service de la base de données Oracle sur le serveur Tivoli Identity Manager. Il s agit d un champ obligatoire. Description Entrez une description facultative du service. Adresse URL Spécifiez l emplacement et le numéro de port de l adaptateur de la base de données Oracle. Le numéro de port est défini dans la configuration du protocole à l aide du programme agentcfg. Pour plus d informations sur les paramètres de configuration du protocole, consultez la section «Modification des paramètres de configuration du protocole», à la page 13. Le champ Adresse URL est un champ obligatoire. Si le protocole https est indiqué comme faisant partie de l adresse URL, vous devez configurer l adaptateur pour l utilisation avec l authentification SSL. Si l adaptateur n est pas configuré pour l utilisation avec l authentification SSL, spécifiez le protocole http pour l adresse URL. Pour plus d informations sur la configuration de l adaptateur pour l utilisation avec l authentification SSL, consultez le Chapitre 5, «Configuration de l authentification SSL pour l adaptateur de la base de données Oracle», à la page 37. Chapitre 2. Installation et configuration de l adaptateur de la base de données Oracle 7

24 ID utilisateur Spécifiez le nom d utilisateur du protocole DAML (Directory Access Markup Language). Le nom d utilisateur est défini dans la configuration du protocole à l aide du programme agentcfg. Pour plus d informations sur les paramètres de configuration de protocole, consultez la section «Modification des paramètres de configuration du protocole», à la page 13. Il s agit d un champ obligatoire. Mot de passe Spécifiez le mot de passe du nom d utilisateur du protocole DAML. Le mot de passe est défini dans la configuration du protocole à l aide du programme agentcfg. Pour plus d informations sur les paramètres de configuration de protocole, consultez la section «Modification des paramètres de configuration du protocole», à la page 13. Il s agit d un champ obligatoire. Service Configuration de l adaptateur Oracle Indiquez le nom du service Oracle géré par ce service. Pour plus d informations sur le nom de service Oracle, consultez le Chapitre 4, «Modification des services Oracle», à la page 31. Il s agit d un champ obligatoire. Propriétaire Indiquez le nom du propriétaire de service, s il existe. Il s agit d un champ facultatif. Configuration requise pour le service Spécifiez un nom de service Tivoli Identity Manager existant qui est une condition préalable au service de la base de données Oracle. 6. Pour vérifier la connexion, appuyez sur Tester. 7. Pour créer le service, appuyez sur Soumettre. Lorsque vous avez installé l adaptateur de la base de données Oracle de Tivoli Identity Manager et importé le profil de l adaptateur, vous devez le configurer afin de vous assurer de son bon fonctionnement. Pour configurer l adaptateur de la base de données Oracle, procédez comme suit : 1. Démarrez le service de l adaptateur de la base de données Oracle à l aide de l outil des services Windows. 2. Configurez le protocole DAML pour garantir la communication avec le serveur Tivoli Identity Manager. Pour plus d informations sur la configuration du protocole DAML, consultez la section «Modification des paramètres de configuration du protocole», à la page Configurez l adaptateur de la base de données Oracle pour la communication avec le serveur Tivoli Identity Manager en configurant l adaptateur pour la notification des événements. Pour plus d informations sur la notification des événements, consultez la section «Configuration de la notification des événements», à la page Pour sécuriser la communication, installez un certificat sur l ordinateur sur lequel l adaptateur est installé ainsi que sur le serveur Tivoli Identity Manager. Pour plus d informations sur l installation des certificats, consultez le Chapitre 5, «Configuration de l authentification SSL pour l adaptateur de la base de données Oracle», à la page IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

25 5. Utilisez l utilitaire agentcfg pour modifier les paramètres de l adaptateur. Pour plus d informations sur la configuration des paramètres, consultez le Chapitre 3, «Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager», à la page Définissez les noms de service Oracle que l adaptateur de la base de données Oracle doit gérer. Pour plus d informations sur la définition des noms de service Oracle, consultez le Chapitre 4, «Modification des services Oracle», à la page Ajoutez et configurez le formulaire de service sur le serveur Tivoli Identity Manager. Pour plus d informations sur l ajout et la configuration d un formulaire de service, consultez la section «Création d un service de base de données Oracle», à la page Configurez le formulaire de compte de l adaptateur. Pour plus d informations sur la configuration d un formulaire de compte pour l adaptateur, reportez-vous au centre de documentation IBM Tivoli Identity Manager Information Center. Chapitre 2. Installation et configuration de l adaptateur de la base de données Oracle 9

26 10 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

27 Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager Utilisez le programme de configuration de l adaptateur agentcfg pour visualiser ou modifier les paramètres de l adaptateur de la base de données Oracle. Toute modification apportée aux paramètres à l aide de cet outil prendra effet immédiatement. Démarrage de l outil de configuration de l adaptateur Pour lancer l outil de configuration de l adaptateur, agentcfg, pour les paramètres de l adaptateur de la base de données Oracle, procédez comme suit : 1. Dans le menu Démarrer, sélectionnez Programmes Accessoires Invite de commandes. 2. A l invite de commande, allez au répertoire \bin pour l adaptateur. Par exemple, entrez la commande suivante si l adaptateur de la base de données Oracle se trouve dans l emplacement par défaut : cd C:\Tivoli\Agents\OracleAgent\bin 3. Saisissez la commande suivante : agentcfg -agent OracleAgent Vous pouvez également utiliser agentcfg pour afficher ou modifier les paramètres de configuration à partir d un ordinateur distant. Pour plus d informations sur l utilisation d arguments supplémentaires, reportez-vous au tableau de la section «Accès à l aide et aux options supplémentaires», à la page A l invite Enter configuration key for Agent OracleAgent, entrez la clé de configuration pour l adaptateur de la base de données Oracle. La clé de configuration par défaut est agent. Vous devez modifier la clé de configuration une fois l installation terminée pour empêcher tout accès non autorisé au menu de configuration de l adaptateur. Pour modifier la clé de configuration, consultez la section «Modification des paramètres de configuration du protocole», à la page 13. L écran Main Configuration Menu apparaît. OracleAgent 4.6 Agent Main Configuration Menu A. Configuration Settings. B. Protocol Configuration. C. Event Notification. D. Change Configuration Key. E. Activity Logging. F. Registry Settings. G. Advanced Settings. H. Statistics. I. Codepage Support. X. Done. Select menu option: Dans le menu principal, vous pouvez configurer le protocole, afficher les statistiques et modifier les paramètres, notamment la configuration, le registre et les paramètres avancés. Copyright IBM Corp. 2003,

28 Tableau 2. Options du menu principal de configuration Option Tâche de configuration Pour en savoir plus A Affichage des paramètres de configuration B Modification des paramètres de configuration du protocole C Configuration de la notification des événements D Modification de la clé de configuration E Modification des paramètres du journal d activité F Modification des paramètres de registre G Modification des paramètres avancés Voir page 12. Voir page 13. Voir page 16. Voir page 22. Voir page 22. Voir page 24. Voir page 25. H Affichage des statistiques Voir page 26. I Modification des paramètres de page de codes Voir page 26. Affichage des paramètres de configuration La procédure ci-après explique comment afficher les paramètres de configuration de l adaptateur de la base de données Oracle. 1. Quand l écran Agent Main Configuration Menu s affiche, entrez la lettre A. Les paramètres de configuration de l adaptateur de la base de données Oracle apparaissent à l écran. Voici un exemple de paramètres de configuration de l adaptateur de la base de données Oracle. Configuration Settings Name : OracleAgent Version : 4.6 ADK Version : 4.65 ERM Version : 4.65 License : NONE Asynchronous ADD Requests : TRUE (Max.Threads:3) Asynchronous MOD Requests : TRUE (Max.Threads:3) Asynchronous DEL Requests : TRUE (Max.Threads:3) Asynchronous SEA Requests : TRUE (Max.Threads:3) Available Protocols : DAML Configured Protocols : DAML Logging Enabled : TRUE Logging Directory : C:\Tivoli\Agents\OracleAgentLog Log File Name : OracleAgent.log Max. log files : 3 Max.log file size (Mbytes) : 1 Debug Logging Enabled : TRUE Detail Logging Enabled : FALSE Press any key to continue 2. Appuyez sur n importe quelle touche pour revenir au menu principal. 12 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

29 Modification des paramètres de configuration du protocole L adaptateur de la base de données Oracle utilise le protocole DAML pour communiquer avec le serveur Tivoli Identity Manager. Par défaut, lorsque l adaptateur est installé, le protocole DAML est configuré pour une utilisation en mode non sécurisé. Pour configurer un environnement sécurisé, vous devez configurer le protocole DAML pour l utilisation de la fonction SSL et installer un certificat. Pour plus d informations sur l installation des certificats, consultez la section «Installation du certificat», à la page 47. Dans les versions précédentes de l adaptateur, vous pouviez ajouter et supprimer des protocoles. Cependant, dans la toute dernière version de cet adaptateur, le protocole DAML est le seul protocole pris en charge utilisable. Par conséquent, vous n avez pas besoin d ajouter ou de supprimer un protocole. Pour configurer le protocole DAML pour l adaptateur de la base de données Oracle, procédez comme suit : 1. Quand l écran Agent Main Configuration Menu s affiche, entrez la lettre B. Le protocole DAML est configuré et disponible par défaut pour l adaptateur de la base de données Oracle. Agent Protocol Configuration Menu Available Protocols: DAML Configured Protocols: DAML A. Add Protocol. B. Remove Protocol. C. Configure Protocol. X. Done Select menu option 2. Quand l écran Agent Protocol Configuration Menu s affiche, entrez la lettre C. L écran DAML Protocol Properties Menu s affiche. 3. Quand l écran DAML Protocol Properties Menu s affiche, entrez la lettre C. Les propriétés du protocole configuré s affichent à l écran. Les propriétés du menu peuvent différer de celles illustrées dans les exemples. L écran suivant est un exemple de propriétés du protocole DAML : DAML Protocol Properties A. USERNAME ****** ;Authorized user name. B. PASSWORD ****** ;Authorized user password. C. MAX_CONNECTIONS 100 ;Max Connections. D. PORTNUMBER ;Protocol Server port number. E. USE_SSL FALSE ;Use SSL secure connection. F. SRV_NODENAME ;Event Notif. Server name. G. SRV_PORTNUMBER 9443 ;Event Notif. Server port number. H. VALIDATE_CLIENT_CE FALSE ;Require client certificate. I. REQUIRE_CERT_REG FALSE ;Require registered certificate. X. Done Select menu option: 4. Entrez la lettre de l option de menu pour la propriété de protocole que vous voulez configurer. Reportez-vous au tableau 3, à la page 14 ci-après pour obtenir des informations supplémentaires sur la configuration du protocole DAML. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 13

30 Tableau 3. Options du menu du protocole DAML Option Tâche de configuration A L invite suivante apparaît à l écran : Modify Property USERNAME : Entrez un ID utilisateur. Cette valeur correspond à l ID utilisateur que le serveur Tivoli Identity Manager emploie pour se connecter à l adaptateur. L ID utilisateur par défaut est agent. B L invite suivante apparaît à l écran : Modify Property PASSWORD : Entrez un mot de passe. Cette valeur est le mot de passe de l ID utilisateur utilisé par le serveur Tivoli Identity Manager pour se connecter à l adaptateur. Le mot de passe par défaut est agent. C L invite suivante apparaît à l écran : Modify Property MAX_CONNECTIONS : Entrez un nombre maximal de connexions ouvertes concurrentes prises en charge par l adaptateur. Le nombre par défaut est 100. D L invite suivante apparaît à l écran : Modify Property PORTNUMBER : Entrez un autre numéro de port. Cette valeur est le numéro de port utilisé par le serveur Tivoli Identity Manager pour se connecter à l adaptateur. Le numéro de port par défaut est E L invite suivante apparaît à l écran : Modify Property USE_SSL : Entrez TRUE ou FALSE pour indiquer si une connexion SSL sécurisée sera utilisée pour se connecter à l adaptateur ou à partir de celui-ci. La valeur définie par défaut est FALSE. Vous devez installer un certificat lorsque USE_SSL est défini sur TRUE. Pour obtenir des informations supplémentaires sur l installation des certificats, consultez la section «Installation du certificat», à la page 47. F L invite suivante apparaît à l écran : Modify Property SRV_NODENAME : Entrez le nom du serveur ou une adresse IP, par exemple, Cette valeur est le nom du système de nom de domaine du serveur Tivoli Identity Manager utilisé pour la notification d événements et le traitement des requêtes asynchrones. Remarque : Si votre plateforme prend en charge les connexions du protocole IP version 6 (IPv6), vous pouvez spécifier le serveur IPv6. 14 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

31 Tableau 3. Options du menu du protocole DAML (suite) Option Tâche de configuration G L invite suivante apparaît à l écran : Modify Property SRV_PORTNUMBER : Entrez un numéro de port différent pour accéder au serveur Tivoli Identity Manager. Cette valeur est le numéro de port utilisé par l adaptateur pour se connecter au serveur Tivoli Identity Manager. Le numéro de port par défaut est H L invite suivante apparaît à l écran : Modify Property VALIDATE_CLIENT_CE : Entrez la valeur TRUE pour demander au serveur Tivoli Identity Manager d envoyer un certificat lorsqu il communique avec l adaptateur. Entrez la valeur FALSE pour permettre au serveur Tivoli Identity Manager de communiquer avec l adaptateur sans certificat. La valeur définie par défaut est FALSE. Remarques : 1. Si vous définissez cette option sur TRUE, vous devez configurer les options D à H. 2. Le nom de propriété est VALIDATE_CLIENT_CERT. Il est tronqué par agentcfg de manière à ce qu il s adapte à la taille de l écran. 3. Vous devez utiliser CertTool pour installer les certificats de CA appropriés et éventuellement enregistrer le certificat du serveur Tivoli Identity Manager. Pour plus d informations sur l utilisation de CertTool, consultez la section «Gestion des certificats SSL à l aide de l outil CertTool», à la page 43. I L invite suivante apparaît à l écran : Modify Property REQUIRE_CERT_REG : Cette valeur n est nécessaire que lorsque l option H est définie sur TRUE. Entrez la valeur TRUE pour demander l enregistrement du certificat client du serveur Tivoli Identity Manager avec l adaptateur avant qu il n accepte une connexion SSL. Entrez la valeur FALSE pour demander la vérification du certificat client par rapport à la liste des certificats CA. La valeur définie par défaut est FALSE. Pour plus d informations sur les certificats, consultez le Chapitre 5, «Configuration de l authentification SSL pour l adaptateur de la base de données Oracle», à la page A l invite, modifiez la valeur et appuyez sur Entrée. L écran Protocol Properties Menu apparaît avec les nouveaux paramètres. Si vous ne souhaitez pas changer la valeur, appuyez simplement sur la touche Entrée afin de revenir à l écran Protocol Properties Menu. 6. Répétez les étapes 4 et 5 pour configurer autant de propriétés de protocole que nécessaire. 7. Quand l écran Protocol Properties Menu s affiche, entrez la lettre X pour quitter le menu. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 15

32 Configuration de la notification des événements La notification des événements est une fonction de l adaptateur de la base de données Oracle qui met à jour le serveur Tivoli Identity Manager à intervalles réguliers. Elle détecte les modifications apportées à la ressource gérée et met à jour le serveur Tivoli Identity Manager en conséquence. Vous pouvez activer la notification des événements si vous voulez que les informations mises à jour issues de la ressource gérée soient renvoyées au serveur Tivoli Identity Manager entre les rapprochements. La notification des événements n entend pas remplacer le rapprochement sur le serveur Tivoli Identity Manager. Lorsque la notification des événements est activée, une base de données contenant les données de rapprochement est conservée sur l ordinateur sur lequel l adaptateur est installé. La base de données est mise à jour avec les modifications requises par le serveur Tivoli Identity Manager tout en restant synchronisée avec le serveur. Vous pouvez spécifier un intervalle pour que le processus de notification des événements compare la base de données avec les données de la ressource gérée. Lorsque l intervalle arrive à expiration, toute différence entre la ressource gérée et la base de données est transférée au serveur Tivoli Identity Manager et mise à jour dans la base de données locale d analyse sélective. L activation de la notification d événements comprend plusieurs étapes. Ces étapes supposent que l adaptateur communique correctement avec la ressource gérée et le serveur Tivoli Identity Manager. Vous devez tout d abord configurer le nom d hôte, le numéro de port et les informations relatives à la connexion pour le serveur Tivoli Identity Manager. Pour identifier le serveur qui sera utilisé par le protocole DAML, procédez comme suit : 1. Quand l écran Agent Protocol Configuration Menu s affiche, sélectionnez Configure Protocol. Pour obtenir des informations supplémentaires sur la configuration d un protocole, consultez la section «Modification des paramètres de configuration du protocole», à la page Entrez l option de menu pour la propriété SRV_NODENAME. 3. Indiquez l adresse IP ou le nom du serveur qui identifie le serveur Tivoli Identity Manager et appuyez sur Entrée. L écran Protocol Properties Menu apparaît avec les nouveaux paramètres. 4. Entrez l option de menu pour la propriété SRV_PORTNUMBER. 5. Indiquez le numéro de port que l adaptateur utilise pour se connecter au serveur Tivoli Identity Manager pour la notification d événements, puis appuyez sur Entrée. L écran Protocol Properties Menu s affiche avec les nouveaux paramètres. Dans cet exemple, le menu affiche toutes les options disponibles lorsque la fonction de notification des événements est activée. Si la fonction de notification des événements est désactivée, certaines options ne s affichent pas. Pour configurer la notification des événements pour le serveur Tivoli Identity Manager, procédez comme suit : 1. Quand l écran Agent Main Configuration Menu s affiche, entrez la lettre C. L écran Event Notification Menu s affiche. 16 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

33 Event Notification Menu * Reconciliation interval : 1 day(s) * Next Reconciliation time : 23 hour(s) 56 min(s). 23 sec(s). * Configured Contexts : Jupiter, dd309 A. Enabled B. Time interval between reconciliations. C. Set Processing cache size. (currently: 50 Mbytes) D. Start event notification now. E. Set attributes to be reconciled. F. Reconciliation process priority. (current: 1) G. Add Event Notification Context. H. Modify Event Notification Context. I. Remove Event Notification Context. J. List Event Notification Contexts. X. Done Select menu option: Remarque : Dans cet exemple, le menu affiche toutes les options disponibles lorsque la fonction de notification des événements est activée. Si la fonction de notification des événements est désactivée, certaines options ne s affichent pas. 2. Entrez la lettre de l option de menu que vous souhaitez modifier. Vous devez activer l option A pour que les valeurs des autres options soient prises en compte. Appuyez sur Entrée pour revenir à l écran Agent Event Notification Menu sans modifier la valeur. Tableau 4. Options du menu de notification d événements Option Tâche de configuration A Si cette option est activée, l adaptateur met à jour le serveur Tivoli Identity Manager à intervalles réguliers pour intégrer les modifications apportées à l adaptateur. Lorsque l option est : v désactivée, appuyez sur la touche A pour l activer v activée, appuyez sur la touche A pour la désactiver Entrez la lettre A pour basculer d une option à l autre. B L invite suivante apparaît à l écran : Enter new interval ([ww:dd:hh:mm:ss]) Entrez un intervalle de rapprochement différent. Par exemple, [00:01:00:00:00] Remarque : Cette valeur indique le délai qui sépare deux notifications d événements. La notification d événements utilise un grand nombre de ressources ; par conséquent, définissez cette valeur de sorte que les notifications n aient pas lieu trop fréquemment. C L invite suivante apparaît à l écran : Enter new cache size[5]: Entrez une valeur différente pour modifier la taille du cache de traitement. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 17

34 Tableau 4. Options du menu de notification d événements (suite) Option Tâche de configuration D Si cette option est sélectionnée, le programme lance la fonction de notification des événements. E L écran Event Notification Entry Types Menu s affiche. Pour plus d informations, consultez la section «Configuration des déclencheurs de notification d événements». F L invite suivante apparaît à l écran : Enter new thread priority [1-10]: Entrez une valeur différente pour l unité d exécution afin de modifier la priorité du processus de notification d événements. Remarque : Le paramétrage d une valeur inférieure pour l unité d exécution minimise l impact que le processus de notification d événements aura sur les performances de l adaptateur. Une valeur inférieure peut également rallonger la durée de la notification d événements. G L invite suivante apparaît à l écran : Context name : Entrez le nouveau nom du contexte et appuyez sur Entrée. Le nouveau contexte est ajouté. H Un menu répertoriant les contextes disponibles s affiche. Pour plus d informations, consultez la section «Modification d un contexte de notification d événements», à la page 19. I L écran Remove Context Menu s affiche. Sélectionnez le contexte à supprimer. L invite suivante apparaît ensuite à l écran : Delete context context1? [no]: Appuyez sur Entrée pour quitter sans supprimer le contexte ou entrez Yes et appuyez sur Entrée pour supprimer le contexte. J Les contextes de notification d événements sont affichés au format suivant : Context Name : Context1 Target DN : erservicename=context1,o=ibm, ou=ibm,dc=com --- Attributes for search request --- {search attributes listed} Appuyez sur Entrée si vous avez modifié la valeur des options B, C, E ou F. Les autres options sont modifiées automatiquement lorsque vous entrez la lettre de l option correspondante. L écran Event Notification Menu apparaît avec les nouveaux paramètres. Configuration des déclencheurs de notification d événements Par défaut, tous les attributs sont interrogés pour les notifications d événements. Certains attributs qui changent fréquemment (durée du mot de passe ou dernière connexion réussie, par exemple) doivent être omis. 1. Quand l écran Event Notification Menu s affiche, entrez la lettre E. L écran Event Notification Entry Types Menu s affiche. 18 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

35 Event Notification Entry Types A. USER B. GROUP X. Done Select menu option: Les types USER et GROUP n apparaîtront dans le menu susmentionné que si les conditions suivantes sont remplies : a. La notification des événements a été activée b. Un contexte a été créé et configuré c. Un rapprochement complet a été exécuté 2. Entrez la lettre A pour obtenir une liste des attributs renvoyés lors d un rapprochement utilisateur ou entrez la lettre B pour obtenir les attributs renvoyés lors d un rapprochement de groupe. L écran Event Notification Attribute Listing s affiche pour le type de rapprochement sélectionné. Par défaut, le programme répertorie tous les attributs pris en charge par l adaptateur. La liste ci-dessous répertorie tous les attributs de l exemple ; elle peut donc être différente de la liste qui apparaît sur votre ordinateur. Event Notification Attribute Listing (a) **erpassword (b) **eroracletblspcquota (c) **eroracleauthenticationtype (d) **eruid (e) **eroracleservicename (f) **eroracleedefaulttablespace (g) **eroracleprofile (h) **eroraclesyspriv (i) **eroracletemporarytablespace (j) **eroraclerole (k) **eroracleexpirepwd (l) **eroracleglobalname (p)rev page 1 of 3 (n)ext X. Done Select menu option: 3. Entrez la lettre correspondante de l option de menu pour l attribut à exclure d une notification d événements. Les attributs assortis de deux astérisques (**) sont renvoyés lors de la notification d événements. Les attributs qui ne sont pas suivis d astérisques ne sont pas renvoyés lors de la notification d événements. Modification d un contexte de notification d événements Un contexte de notification d événements correspond à un service sur le serveur Tivoli Identity Manager. Certains adaptateurs prennent en charge plusieurs services. Un adaptateur de la base de données Oracle peut posséder plusieurs services Tivoli Identity Manager si vous spécifiez un point de base différent pour chaque service. Le point de base de l adaptateur de la base de données Oracle correspond au point sur le Directory Server utilisé comme racine de l adaptateur. Ce point peut être un point de base d une unité organisationnelle (OU) ou d un conteneur de domaine (DC). Vu que le point de base est une valeur optionnelle, si vous n indiquez pas de valeur, l adaptateur utilise le domaine par défaut de l ordinateur sur lequel il est installé. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 19

36 Vous pouvez avoir plusieurs contextes de notification d événements, mais vous devez avoir au minimum un adaptateur. Dans l écran d exemple suivant, veuillez noter que Context1, Context2 et Context3 sont trois contextes distincts disposant chacun d un point de base différent. Pour modifier un contexte de notification d événements, procédez comme suit : 1. Quand l écran Event Notification Menu s affiche, entrez la lettre H. L écran Modify Context Menu s affiche. Modify Context Menu A. Context1 B. Context2 C. Context3 X. Done Select menu option: 2. Entrez la lettre de l option de menu que vous souhaitez modifier. L écran Modify Context Menu du contexte sélectionné s affiche. A. Set attributes for search B. Target DN: C. Delete Baseline Database X. Done Select menu option: Tableau 5. Options de modification du menu contextuel Option Tâche de configuration Pour en savoir plus A Ajout d attributs de recherche pour la notification d événements B Configuration du nom distinctif cible pour des contextes de notification d événements C Suppression de la base de données pour des contextes de notification d événements Voir page 20. Voir page 21. Voir page 21. Ajout d attributs de recherche pour la notification d événements Pour certains adaptateurs, vous devez spécifier une paire attribut-valeur pour un ou plusieurs contextes. Ces paires attribut-valeur définies lors de la réalisation des étapes suivantes servent à des fins multiples : v Lorsqu un adaptateur unique prend en charge des services multiples, chaque service doit spécifier un ou plusieurs attributs afin de se différencier des autres services. v Les attributs de recherche sont transmis au processus de notification d événements lorsque l intervalle de notification des événements est arrivé à échéance ou est démarré manuellement. Pour chaque contexte, une requête de recherche intégrale est envoyée à l adaptateur. En outre, les attributs spécifiés pour le contexte sont transmis à l adaptateur. v Lorsque le serveur Tivoli Identity Manager lance un processus de rapprochement, l adaptateur remplace la base de données locale représentant ce service par la nouvelle base de données. Pour ajouter des attributs de recherche, procédez comme suit : 1. Quand l écran Modify Context Menu du contexte s affiche, entrez la lettre A. L écran Reconciliation Attribute Passed to Agent Menu s affiche. 20 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

37 Reconciliation Attributes Passed to Agent for Context: Context A. Add new attribute B. Modify attribute value C. Remove attribute X. Done Select menu option: L adaptateur de la base de données Oracle requiert que l attribut eroracleservicename soit spécifié dans chaque contexte. La valeur de l attribut eroracleservicename doit être paramétrée sur le nom de service Oracle sur le formulaire de service Tivoli Identity Manager. 2. Entrez la lettre de l option de menu que vous souhaitez modifier. Les noms d attributs pris en charge seront précédés de deux astérisques (**). Lorsque vous tapez la lettre d un attribut, les astérisques seront activés ou désactivés. Les attributs sans astérisques ne sont pas mis à jour lors d une notification d événements. L écran Reconciliation Attributes Passed to Agent Menu s affiche avec les modifications apportées. Configuration du nom distinctif (DN) cible pour les contextes de notification d événements Le champ du nom distinctif cible contient le nom unique du service qui reçoit les mises à jour des notifications d événements. Pour configurer le nom distinctif cible, procédez comme suit : 1. Quand l écran Modify Context Menu du contexte s affiche, entrez la lettre B. 2. A l invite Enter Target DN, indiquez le nom distinctif cible du contexte et appuyez sur Entrée. Le nom distinctif cible du contexte de notification d événements doit être indiqué sous la forme suivante : erservicename=erservicename,o=organizationname,ou=tenantname,rootsuffix Chaque élément du nom distinctif est défini sous la forme suivante : Tableau 6. Eléments de nom distinctif et définitions Elément Définition erservicename Indique le nom du service cible. o Indique le nom de l organisation. ou Indique le nom du lieu du site où se trouve l organisation rootsuffix Indique la racine de l arborescence des répertoires L écran Modify Context Menu s affiche avec le nouveau nom distinctif cible répertorié. Suppression de la base de données de référence pour les contextes de notification d événements Cette option est disponible uniquement lorsque vous avez créé un contexte et exécuté un rapprochement sur ce contexte pour créer un fichier de base de données. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 21

38 Quand l écran Modify Context Menu du contexte s affiche, entrez la lettre C. L écran Modify Context Menu s affiche sans l option Delete Baseline Database. Modification de la clé de configuration Utilisez la clé de configuration comme mot de passe pour accéder à l outil de configuration de l adaptateur. Pour modifier la clé de configuration de l adaptateur de la base de données Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre D. 2. Modifiez la valeur de la clé de configuration et appuyez sur Entrée. Appuyez sur Entrée pour retourner dans le menu de configuration principal sans modifier la clé de configuration. La clé de configuration par défaut est agent. Veillez à choisir des mots de passe difficiles à deviner. Le message suivant s affiche : Configuration key successfully changed. Le programme de configuration se ferme et l invite du menu principal Main Menu apparaît à l écran. Modification des paramètres de consignation de l activité Lorsque vous activez la fonction de consignation, l adaptateur de la base de données Oracle conserve un fichier journal daté de toutes les transactions nommé OracleAgent.log. Par défaut, le fichier journal se trouve dans le répertoire \log. Pour modifier les paramètres de consignation de l activité de l adaptateur de la base de données Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre E. L écran Agent Activity Logging Menu s affiche. L exemple suivant illustre les paramètres de consignation de l activité par défaut. Agent Activity Logging Menu A. Activity Logging (Enabled). B. Logging Directory (current: C:\Tivoli\Agents\OracleAgentLog). C. Activity Log File Name (current: OracleAgent.log). D. Activity Logging Max. File Size ( 1 mbytes) E. Activity Logging Max. Files ( 3 ) F. Debug Logging (Enabled). G. Detail Logging (Disabled). H. Base Logging (Disabled). I. Thread Logging (Disabled). X. Done Select menu option: 2. Entrez la lettre de l option de l écran Agent Activity Logging Menu que vous souhaitez modifier. Vous devez activer l option A pour que les valeurs des autres options soient prises en compte. Appuyez sur Entrée pour revenir à l écran Agent Activity Logging Menu sans modifier la valeur. 22 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

39 Tableau 7. Options du menu de consignation de l activité Option Tâche de configuration A Activez cette option pour que l adaptateur conserve un fichier journal daté de toutes les transactions. Lorsque l option est : v désactivée, appuyez sur la touche A pour l activer v activée, appuyez sur la touche A pour la désactiver Entrez la lettre A pour basculer d une option à l autre. B L invite suivante apparaît à l écran : Enter log file directory: Entrez une valeur différente pour le répertoire de consignation, par exemple, C:\Log. Lorsque l option de consignation est activée, les détails relatifs à chaque demande d accès sont conservées dans le fichier de consignation situé dans ce répertoire. C L invite suivante apparaît à l écran : Enter log file name: Entrez une valeur différente pour le nom du journal. Lorsque l option de consignation est activée, les détails relatifs à chaque demande d accès sont conservées dans le fichier de consignation. D L invite suivante apparaît à l écran : Enter maximum size of log files (mbytes): Entrez une nouvelle valeur, par exemple 10. Lorsque le fichier journal atteint sa taille maximale, les données les plus anciennes sont archivées. La taille du fichier est exprimée en méga-octets. Il est possible que la taille du fichier journal d activité dépasse la capacité du disque. E L invite suivante apparaît à l écran : Enter maximum number of log files to retain: Indiquez une nouvelle valeur inférieure ou égale à 100, par exemple 5. L adaptateur supprime automatiquement les journaux d activité les plus anciens lorsque la limite indiquée a été dépassée. F Si cette option est activée, l adaptateur inclut les instructions de débogage dans le fichier journal de toutes les transactions. Lorsque l option est : v désactivée, appuyez sur la touche F pour l activer v activée, appuyez sur la touche F pour la désactiver Entrez la lettre F pour basculer d une option à l autre. G Si cette option est activée, l adaptateur conserve un journal détaillé de toutes les transactions. L option de consignation détaillée doit être utilisée uniquement à des fins de diagnostic. La consignation détaillée permet à l adaptateur d émettre plus de messages et peut augmenter la taille des journaux. Lorsque l option est : v désactivée, appuyez sur la touche G pour l activer v activée, appuyez sur la touche G pour la désactiver Entrez la lettre G pour basculer d une option à l autre. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 23

40 Tableau 7. Options du menu de consignation de l activité (suite) Option Tâche de configuration H Si cette option est activée, l adaptateur conserve un fichier journal de toutes les transactions dans des fichiers ADK et des fichiers de bibliothèque. La journalisation de base augmentera considérablement la taille des journaux. Lorsque l option est : v désactivée, appuyez sur la touche H pour l activer v activée, appuyez sur la touche H pour la désactiver Entrez la lettre H pour basculer d une option à l autre. I Si cette option est activée, le fichier journal inclut des ID d unités d exécution, en plus de la date et de l horodatage à chaque ligne. Lorsque l option est : v désactivée, appuyez sur la touche I pour l activer v activée, appuyez sur la touche I pour la désactiver Entrez la lettre I pour basculer d une option à l autre. 3. Appuyez sur Entrée si vous avez modifié la valeur de l option B, C, D ou E. Les autres options sont automatiquement modifiées lorsque vous entrez la lettre correspondant à l option de menu. L écran Agent Activity Logging Menu s affiche avec les nouveaux paramètres. Modification des paramètres du registre Pour modifier les paramètres du registre de l adaptateur de la base de données Oracle, procédez comme suit : 1. Quand l écran Main Menu s affiche, entrez la lettre F. L écran Registry Menu s affiche. OracleAgent 4.6 Agent Registry Menu A. Modify Non-encrypted registry settings. B. Modify encrypted registry settings. C. Multi-instance settings. X. Done Select menu option: 2. Pour modifier les paramètres du registre, reportez-vous aux procédures ci-dessous. Modification des paramètres de registre non chiffrés Les paramètres de registre non chiffrés de l adaptateur Oracle sont utilisés pour stocker les noms de service Oracle gérés par l adaptateur. Consultez le Chapitre 4, «Modification des services Oracle», à la page 31 pour obtenir des informations sur la configuration de noms de service Oracle supplémentaires. Modification des paramètres de registre chiffrés Les paramètres de registre chiffrés de l adaptateur de la base de données Oracle sont utilisés pour le stockage des mots de passe des noms de service Oracle gérés par l adaptateur. Consultez le Chapitre 4, «Modification des services Oracle», à la page 31 pour obtenir des informations sur la configuration de noms de service Oracle supplémentaires. 24 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

41 Modification des paramètres avancés Vous pouvez modifier les paramètres définissant le nombre d unités d exécution de l adaptateur de la base de données Oracle pour les types suivants de demandes : v System Login Add v System Login Change v System Login Delete v Reconciliation Ces paramètres déterminent le nombre maximal de demandes que l adaptateur de la base de données Oracle peut traiter simultanément. Pour modifier ces paramètres, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre G. L écran Advanced Settings Menu s affiche. L exemple suivant présente les paramètres définissant le nombre d unités d exécution par défaut. OracleAgent 4.6 Advanced Settings Menu A. Single Thread Agent (current:true) B. ADD max. thread count. (current:3) C. MODIFY max. thread count. (current:3) D. DELETE max. thread count. (current:3) E. SEARCH max. thread count. (current:3) F. Allow User EXEC procedures (current:false) G. Archive Request Packets (current:false) H. UTF8 Conversion support (current:true) I. Pass search filter to agent (current:false) J. Thread Priority Level (1-10) (current:4) X. Done Select menu option: 2. Entrez la lettre de l option de menu du paramètre avancé que vous souhaitez modifier. Pour obtenir une description de chaque option, consultez le tableau 8. Tableau 8. Options du menu de paramètres avancés Option Description A Force l adaptateur à n autoriser qu une seule demande à la fois. La valeur par défaut est TRUE. B Détermine le nombre de demandes ADD exécutées simultanément. La valeur par défaut est 3. C Détermine le nombre de demandes MODIFY exécutées simultanément. La valeur par défaut est 3. D Détermine le nombre de demandes DELETE exécutées simultanément. La valeur par défaut est 3. E Détermine le nombre de demandes SEARCH exécutées simultanément. La valeur par défaut est 3. F Détermine si l adaptateur autorise les fonctions pré- et post-exécution. L activation de cette option représente un risque pour la sécurité. La valeur par défaut est FALSE. G Cette option n est plus prise en charge. H Cette option n est plus prise en charge. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 25

42 Tableau 8. Options du menu de paramètres avancés (suite) Option Description I A l heure actuelle, cet adaptateur ne prend pas directement en charge les filtres de traitement. Cette option doit toujours être définie sur FALSE. J Définit le niveau de priorité de l unité d exécution pour l adaptateur. La valeur par défaut est 4. Affichage des statistiques 3. Modifiez la valeur et appuyez sur Entrée. L écran Advanced Settings Menu s affiche avec les nouveaux paramètres. Pour afficher un journal des événements pour l adaptateur de la base de données Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre H. L historique des activités de l adaptateur s affiche. OracleAgent 4.6 Agent Request Statistics Date Add Mod Del Ssp Res Rec /15/ X. Done 2. Entrez la lettre X pour revenir au menu de configuration principal. Modification des paramètres de page de codes Afin de répertorier les informations relatives aux pages de codes prises en charge pour l adaptateur de la base de données Oracle, l adaptateur doit être en cours de fonctionnement. Exécuter la commande suivante pour afficher les informations relatives à la page de codes : agentcfg -agent [adapter_name] -codepages Pour modifier les paramètres de page de codes de l adaptateur de la base de données Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre I. L écran Code Page Support Menu de l adaptateur s affiche. 26 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

43 OracleAgent 4.6 Codepage Support Menu * Configured codepage: US-ASCII * ******************************************* * Restart Agent After Configuring Codepages ******************************************* A. Codepage Configure. X. Done Select menu option: 2. Entrez la lettre A pour configurer une page de codes. Remarque : La page de codes de OracleAgent utilisant le format Unicode, cette option ne s applique pas. 3. Entrez la lettre X pour revenir à l écran Main Configuration Menu. Accès à l aide et aux options supplémentaires Pour accéder au menu d aide de l outil agentcfg et utiliser les arguments d aide, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre X. L invite de la commande s affiche et vous vous trouvez dans le répertoire \bin. 2. Entrez agentcfg -help à l invite de commande pour afficher le menu d aide. La liste suivante des commandes éventuelles s affiche : -version ; Show version -hostname < value> ; Target nodename to connect to (Default:Local host IP address) -findall ; Find all agents on target node -list ; List available agents on target node -agent <value> ; Name of agent -tail ; Display agent s activity log -schema ; Display agent s attribute schema -portnumber <value>; Specified agent s TCP/IP port number -netsearch <value> ; Lookup agents hosted on specified subnet -confidencetest ; Confidence test -setup ; Confidence test setup -help ; Display this help screen Le tableau 9 décrit chacun des arguments. Tableau 9. Arguments et descriptions pour la commande help de l outil agentcfg Argument Description -version Utilisez cet argument pour afficher la version de l outil agentcfg. -hostname <value> Utilisez cet argument avec l un des arguments suivants pour spécifier un hôte différent : v v v v -findall -list -tail -agent Entrez un nom d hôte ou une adresse IP comme valeur. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 27

44 Tableau 9. Arguments et descriptions pour la commande help de l outil agentcfg (suite) Argument Description -findall Utilisez cet argument pour rechercher et afficher toutes les adresses de port comprises entre et et leur attribuer des noms d adaptateur. Cette option s achèvera sur les ports non utilisés ; aussi, l opération peut durer plusieurs minutes. Ajoutez l argument -hostname pour rechercher un hôte éloigné. -list Utilisez cet argument pour afficher les adaptateurs installés sur l hôte local de l adaptateur de la base de données Oracle. Par défaut, lorsque vous installez un adaptateur pour la première fois, il reçoit l adresse de port ou le prochain numéro de port disponible. Tous les adaptateurs installés ultérieurement recevront la prochaine adresse de port disponible. Lorsqu un numéro de port non utilisé est répertorié, la liste prend fin. Utilisez l argument -hostname pour rechercher un hôte éloigné. -agent <value> Utilisez cet argument afin de spécifier l adaptateur que vous souhaitez utiliser. Entrez le nom d un adaptateur en tant que valeur. Utilisez cet argument avec l argument -hostname pour modifier le paramètre de configuration à partir d un hôte éloigné. Vous pouvez également l utiliser avec l argument -tail. -tail Utilisez cet argument avec l argument -agent pour afficher le journal des activités d un adaptateur. Ajoutez l argument -hostname pour afficher le fichier journal d un adaptateur sur un hôte différent. -schema Cette option n est plus prise en charge. -portnumber <value> Utilisez cet argument avec l argument -agent pour spécifier le numéro de port utilisé pour les connexions de l outil agentcfg. -netsearch <value> Utilisez cet argument avec l argument -findall pour afficher tous les adaptateurs actifs du système. Vous devez prendre une adresse de sous-réseau comme valeur. -confidencetest Utilisez cet argument pour exécuter un test afin d ajouter, de modifier, de rechercher et de supprimer une demande adressée à l adaptateur. Le test de fiabilité vous permet de tester les connexions entre l adaptateur et le base de données Oracle. Vous pouvez ainsi vérifier que l adaptateur se connecte au base de données Oracle sans passer par le serveur Tivoli Identity Manager. -setup Utilisez cet argument avec l argument confidence pour configurer le test de fiabilité. -help Utilisez cet argument pour faire apparaître les informations d aide de la commande agentcfg. 3. Entrez agentcfg et un ou plusieurs arguments pris en charge à l invite du programme. Vous devez entrer agentcfg avant chaque argument pour exécuter l outil de configuration de l adaptateur. 28 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

45 Entrez agentcfg-list pour répertorier tous les adaptateurs sur l adresse IP de l hôte local. Notez que l adresse de port du serveur Tivoli Identity Manager est Le résultat ressemble au résultat suivant : Agent(s) installed on node OracleAgent (44970) Entrez agentcfg -agent OracleAgent pour afficher le menu principal de l outil agentcfg utilisé pour afficher ou modifier les paramètres de l adaptateur de la base de données Oracle. Entrez agentcfg -list -hostname pour répertorier tous les adaptateurs d un hôte dont l adresse IP est Le résultat ressemble au résultat suivant : Agent(s) installed on node OracleAgent (44970) Entrez agentcfg-agent OracleAgent -hostname pour afficher le menu principal de l outil agentcfg pour un hôte dont l adresse IP est Utilisez les options de menu pour afficher ou modifier les paramètres de l adaptateur de la base de données Oracle. Chapitre 3. Configuration de l adaptateur de la base de données Oracle pour IBM Tivoli Identity Manager 29

46 30 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

47 Chapitre 4. Modification des services Oracle Le présent chapitre décrit comment utiliser le programme de configuration de services fourni afin d afficher ou de modifier des services Oracle. Pour qu une modification effectuée avec cet outil soit immédiate, vous devez redémarrer l adaptateur de la base de données Oracle. Remarque : Les noms des services Oracle doivent être valides dans la configuration réseau client d Oracle. Accès au menu principal de l outil de configuration de services La procédure ci-après décrit comment accéder au menu principal de l outil servicecfg pour les paramètres de l adaptateur de la base de données Oracle : 1. Connectez-vous au compte de l adaptateur de la base de données Oracle. 2. Passez au répertoire adaptateur de la base de données Oracle \bin. # cd C:\Tivoli\Agents\OracleAgentbin 3. Entrez servicecfg et appuyez sur la touche Entrée. Le menu principal apparaît. IBM Oracle Agent Services Utility ) Display current Oracle Services. 2) Add a new Oracle Service. 3) Modify an Oracle Service. 4) Remove an Oracle Service. 5) Test Oracle Connection. 0) Exit. Enter Option: Dans le menu principal, sélectionnez l une des options disponibles pour réaliser les tâches suivantes : v Pour l option 1, voir «Affichage des services Oracle actuels» v Pour l option 2, voir «Ajout d un nouveau service Oracle», à la page 32 v Pour l option 3, voir «Modification d un service Oracle», à la page 33 v Pour l option 4, voir «Suppression d un service Oracle», à la page 34 v Pour l option 5, voir «Test d une connexion Oracle», à la page 35 Tapez 0 pour revenir au menu principal. Affichage des services Oracle actuels Pour afficher le service Oracle actuel, procédez comme suit : 1. A l invite du menu principal Main Menu, tapez 1. Les services Oracle actuels pour l adaptateur de la base de données Oracle apparaissent. Ci-après un exemple de paramètres d un service Oracle : Copyright IBM Corp. 2003,

48 IBM Oracle Agent Services Utility Display Current Services. Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; X)exit; --> 2. Quand l écran Display Current Services s affiche, entrez la lettre correspondant à l action à exécuter et appuyez sur Entrée. Tableau 10. Descriptions des options d affichage Option Tâche de configuration N Afficher la liste des dix prochains services Oracle P Afficher la liste des dix précédents services Oracle Ajout d un nouveau service Oracle Pour ajouter un nouveau service Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, tapez 2. L écran Add a new Oracle Service apparaît. 2. A l invite Oracle Service Name, entrez le nom du nouveau service Oracle et appuyez sur Entrée. L invite suivante apparaît à l écran :...Oracle Account: 3. A l invite...oracle Account, entrez le nom de compte du service Oracle et appuyez sur Entrée. Il s agit du nom du compte d administration Oracle. L invite suivante apparaît à l écran :...Account password: 4. A l invite...account password, entrez le mot de passe de compte du service Oracle et appuyez sur Entrée. Il s agit du mot de passe du compte d administration Oracle. L invite suivante apparaît à l écran :...Verify password: 5. A l invite...verify password, entrez à nouveau le mot de passe de compte du service Oracle et appuyez sur Entrée. L invite suivante apparaît à l écran : Hit any key to continue 6. A l invite Hit any key to continue, appuyez sur n importe quelle touche pour continuer. Le menu principal apparaît. 32 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

49 Exemple d ajout d un service Oracle Ci-après un exemple de script qui ajoute un nouveau service Oracle : IBM Oracle Agent Services Utility Adding OracService1. Oracle Service Name: bart...oracle Account: maggie...account Password:...Verify Password: Added Service bart with Account maggie, Version 8. Hit any key to continue Modification d un service Oracle Pour modifier un service Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, tapez 3. L écran Modify Service apparaît. IBM Oracle Agent Services Utility Modify Service. Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; M)modify; X)exit; --> 2. Quand l écran Modify Service s affiche, entrez la lettre correspondant à l action à exécuter et appuyez sur Entrée. Tableau 11. Descriptions des options de modification Option Tâche de configuration N Afficher la liste des dix prochains services Oracle P Afficher la liste des dix précédents services Oracle M Modifier un service Oracle 3. Indiquez le numéro du service Oracle à modifier et appuyez sur la touche Entrée. L invite suivante apparaît à l écran : Enter the OraService number to modify: 4. A l invite Enter the OraService number to modify, acceptez le nom du service par défaut ou entrez-en un nouveau et appuyez sur Entrée. L invite suivante apparaît à l écran : Oracle Service Name [sugar]: 5. A l invite Oracle Service Name, acceptez la valeur par défaut ou entrez un nouveau nom de compte du service et appuyez sur Entrée. L invite suivante apparaît à l écran :...Oracle Account [fairy]: 6. A l invite...oracle Account, acceptez la valeur par défaut ou entrez un nouveau nom de compte du service et appuyez sur Entrée. L invite suivante apparaît à l écran : Chapitre 4. Modification des services Oracle 33

50 ...Account Password : 7. A l invite...account Password, entrez le mot de passe de compte du service Oracle et appuyez sur Entrée. L invite suivante apparaît à l écran :...Verify Password : 8. A l invite...verify Password, entrez à nouveau le mot de passe de compte administrateur Oracle et appuyez sur Entrée. L invite suivante apparaît à l écran : Hit any key to continue 9. A l invite Hit any key to continue, appuyez sur n importe quelle touche pour continuer. L écran Modify an Oracle Service apparaît avec les nouvelles valeurs. Exemple de modification d un service Oracle L exemple ci-dessous est un script modifiant un service Oracle : IBM Oracle Agent Services Utility Modify Service. Available Oracle Services 1 through 10 OraService1= plum:system OraService2= peach:oradba OraService3= palm:es300 OraService4= basswood:oradba N)next; P)previous; M)modify; X)exit; --> M Enter the OraService number to modify : 1 Oracle Service Name [plum]:...oracle Account [system]: itim...account Password:...Verify Password: Update Service plum with Account itim, Version 8. Hit any key to continue. Suppression d un service Oracle Pour supprimer un service Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, tapez 4. L écran Remove Service apparaît. IBM Oracle Agent Services Utility Remove Service Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; R)remove; X)exit; --> 2. Quand l écran Remove Service s affiche, entrez la lettre correspondant à l action à exécuter et appuyez sur Entrée. Tableau 12. Descriptions des options de suppression Option Tâche de configuration N Afficher la liste des dix prochains services Oracle 34 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

51 Tableau 12. Descriptions des options de suppression (suite) Option Tâche de configuration P Afficher la liste des dix précédents services Oracle R Supprimer un service Oracle 3. Indiquez le numéro du service Oracle à supprimer et appuyez sur la touche Entrée. L invite suivante apparaît à l écran : Enter the OraService number to delete: 4. A l invite Enter the OraService number to delete, entrez Y et appuyez sur Entrée. L invite suivante apparaît à l écran : Are you sure [Y/N]: 5. A l invite Are you sure [Y/N], entrez Y pour supprimer le service ou N pour annuler. Si vous choisissez Y, le service Oracle sélectionné est supprimé. Exemple de suppression d un service Oracle L exemple ci-dessous est un script supprimant un service Oracle : IBM Oracle Agent Services Utility Remove Service. Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; R)remove; X)exit; --> r Enter the OraService number to delete : 1 Removing OraService1... service name : sugar account : plum Are you sure [Y/N]: y Test d une connexion Oracle Pour tester la connexion d un service Oracle, procédez comme suit : 1. A l invite du menu principal Main Menu, tapez 5. L écran Test Oracle Service connection apparaît. IBM Oracle Agent Services Utility Test Oracle connection. Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; T)test connection; X)exit; --> 2. Quand l écran Test Oracle s affiche, entrez la lettre correspondant à l action à exécuter et appuyez sur Entrée. Chapitre 4. Modification des services Oracle 35

52 Tableau 13. Descriptions des options de test Option Tâche de configuration N Afficher la liste des dix prochains services Oracle P Afficher la liste des dix précédents services Oracle T Tester la connexion d un service Oracle 3. Indiquez le numéro du service Oracle à tester et appuyez sur la touche Entrée. L invite suivante apparaît à l écran : Enter the OraService number to test: 4. A l invite Enter the OraService number to test, entrez le numéro du service Oracle à tester. Si le test aboutit, le message suivant apparaît : Connection SUCCESSFUl to OraService1 : sugar. 5. A l invite Hit any key to continue, appuyez sur n importe quelle touche pour continuer. L écran Test Oracle connection apparaît. Exemple de test d une connexion Oracle L exemple ci-dessous est un script testant une connexion Oracle : IBM Oracle Agent Services Utility Test Oracle connection. Available Oracle Services 1 through 10 OraService1=sugar:plum OraService2=peach:blossom OraService3=apple:cider OraService4=orange:juice N)next; P)previous; T)test connection; X)exit; --> t Enter the OraService number to test: 1 Connection SUCCESSFUL to OraService1 : sugar. Hit any key to continue. 36 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

53 Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle Pour établir une connexion sécurisée entre un adaptateur Tivoli Identity Manager et le serveur Tivoli Identity Manager, vous devez configurer l adaptateur et le serveur afin d utiliser l authentification SSL (Secure Sockets Layer) avec le protocole de communication par défaut, DAML. En configurant l adaptateur pour ce type d authentification, vous garantissez la vérification de son identité par le serveur Tivoli Identity Manager avant la mise au point d une connexion sécurisée. Vous pouvez configurer l authentification SSL pour les connexions provenant du serveur Tivoli Identity Manager ou de l adaptateur. En règle générale, le serveur Tivoli Identity Manager établit une connexion à l adaptateur en vue de définir ou d extraire la valeur de l un de ses attributs gérés. Toutefois, selon les exigences de votre environnement en matière de sécurité, il se peut que vous deviez configurer l authentification SSL pour les connexions issues de l adaptateur. Par exemple, si l adaptateur utilise des événements pour avertir le serveur Tivoli Identity Manager des modifications apportées aux attributs de l adaptateur, vous pouvez configurer l authentification SSL pour les connexions Web provenant de l adaptateur pour le serveur Web utilisé par le serveur Tivoli Identity Manager. Dans un environnement de production, vous devez activer la sécurité SSL ; en revanche, celle-ci peut être désactivée dans le cadre de tests. Si une application externe communiquant avec l adaptateur (telle que le serveur Tivoli Identity Manager) est configurée de façon à demander l authentification des serveurs, il vous faut activer SSL sur l adaptateur afin de vérifier le certificat présenté par l application. Le présent chapitre donne un aperçu de l authentification SSL, des certificats et du processus d activation de l authentification SSL à l aide de l utilitaire CertTool. Présentation de l authentification SSL et des certificats numériques Lorsque vous déployez Tivoli Identity Manager sur un réseau d entreprise, vous devez sécuriser les communications entre le serveur Tivoli Identity Manager et les produits et composants logiciels avec lesquels le serveur interagit. Le protocole SSL standard, qui utilise des certificats numériques signés fournis par une autorité de certification pour l authentification, permet de sécuriser les communications lors du déploiement de Tivoli Identity Manager. En outre, SSL assure le chiffrement des données échangées par les deux applications. Le mécanisme de chiffrement permet de s assurer que seul le destinataire prévu prendra connaissance des données transmises sur le réseau. Les certificats numériques signés permettent à deux applications de se connecter sur un réseau afin d authentifier l identité de l autre. Une application agissant en tant que serveur SSL présente ses données d authentification dans un certificat numérique signé afin de démontrer à un client SSL qu il s agit effectivement de l entité annoncée. Une application agissant en tant que serveur SSL peut également être configurée de manière à exiger que l application agissant en tant que client SSL présente ses données d authentification dans un certificat, terminant ainsi un échange bidirectionnel de certificats. Les certificats signés sont émis par une Copyright IBM Corp. 2003,

54 autorité de certification tiers contre une redevance. Certains utilitaires, tels que ceux fournis par OpenSSL, peuvent également générer des certificats signés. Il est impératif qu un certificat provenant d une autorité de certification (certificat de CA) soit installé pour que l origine d un certificat numérique signé puisse être vérifiée. Lorsqu une application reçoit un certificat signé d une autre application, elle utilise un certificat de CA pour vérifier l origine du certificat. Une autorité de certification peut être réputée et largement utilisée par les autres organisations, ou spécifique à une région ou une société. De nombreuses applications, telles que des navigateurs Web, sont configurées avec les certificats de CA émis par des autorités de certification reconnues, ce qui permet d éliminer ou de réduire la tâche de distribution des certificats de CA à travers les zones de sécurité du réseau. Clés privées, clés publiques et certificats numériques Les clés, les certificats numériques et les autorités de certification reconnues permettent d établir et de vérifier les identités des applications. SSL utilise la technologie de chiffrement de clés publiques pour l authentification. Dans le cadre du chiffrement de clés publiques, une clé publique et une clé privée sont générées pour une application. Les données chiffrées avec la clé publique peuvent uniquement être déchiffrées à l aide de la clé privée correspondante. De façon similaire, les données chiffrées avec la clé privée peuvent uniquement être déchiffrées à l aide de la clé publique correspondante. La clé privée est protégée par un mot de passe dans un fichier de base de données de clés ; ainsi, seul le propriétaire peut accéder à la clé privée pour déchiffrer les messages chiffrés à l aide de la clé publique. Un certificat numérique signé est un moyen standard pour vérifier l authenticité d une entité telle qu un serveur, un client ou une application. Afin d assurer une sécurité maximale, un certificat est émis par une autorité de certification tiers. Pour la vérification d identité d une entité, un certificat contient les informations suivantes : Informations organisationnelles Cette section du certificat contient des informations identifiant de façon unique le propriétaire du certificat, telles que le nom et l adresse de l organisation. Ces informations sont fournies lors de la génération d un certificat à l aide d un utilitaire de gestion de certificats. Clé publique Le destinataire du certificat utilise la clé publique afin de déchiffrer le texte envoyé par le propriétaire du certificat pour vérifier son identité. Une clé publique comprend une clé privée correspondante qui chiffre le texte. Nom distinctif de l autorité de certification L émetteur du certificat s identifie grâce à ces informations. Signature numérique L émetteur du certificat le signe avec une signature numérique pour prouver son authenticité. Cette signature est comparée à la signature sur le certificat de CA correspondant afin de vérifier que le certificat a été émis par une autorité de certification reconnue. Les navigateurs Web, les serveurs et les autres applications SSL acceptent généralement comme authentiques tous les certificats numériques signés par une autorité de certification reconnue et qui sont par ailleurs valides. Par exemple, un certificat numérique peut être déclaré non valide s il a expiré ou si le certificat de 38 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

55 Certificats CA utilisé pour le vérifier a expiré, ou en cas de non-correspondance entre le nom distinctif dans le certificat numérique du serveur et le nom distinctif spécifié par le client. d auto-signature Ces certificats permettent de tester une configuration SSL avant de créer et d installer un certificat signé émis par une autorité de certification. Un certificat d auto-signature contient une clé publique, des informations sur le propriétaire du certificat et la signature du propriétaire. Il comprend une clé privée associée, mais il ne vérifie par l origine du certificat auprès d une autorité de certification tiers. Lorsque vous avez généré un certificat d auto-signature sur un serveur d application SSL, vous devez l extraire et l ajouter dans le registre de certificats de l application client SSL. La procédure revient à installer un certificat de CA qui correspond au certificat serveur. Cependant, vous n incluez pas la clé privée dans le fichier lorsque vous procédez à l extraction d un certificat d auto-signature que vous utilisez comme équivalent d un certificat de CA. Utilisez un utilitaire de gestion des clés afin de générer un certificat d auto-signature et une clé privée pour extraire le certificat d auto-signature et ajouter un certificat d auto-signature. L endroit et la manière d utiliser les certificats d auto-signature dépendent des conditions de sécurité requises. Afin d atteindre le plus haut niveau d authentification entre les composants logiciels critiques, n utilisez pas de certificats d auto-signature, ou utilisez-les de façon sélective. Par exemple, vous pouvez choisir d authentifier les applications qui protègent les données de serveur avec des certificats numériques signés, et d utiliser des certificats d auto-signature pour authentifier les navigateurs Web ou les adaptateurs Tivoli Identity Manager. Si vous utilisez des certificats d auto-signature dans les procédures suivantes, vous pouvez substituer un certificat d auto-signature à une paire certificat et certificat de CA. Formats des certificats et des clés Les certificats et les clés sont stockés dans des fichiers aux formats suivants : Format Format.pem Un fichier au format.pem ( privacy-enhanced mail) commence et se termine par les lignes suivantes : -----BEGIN CERTIFICATE END CERTIFICATE----- Ce format prend en charge de nombreux certificats numériques, y compris des hiérarchies de certificats. Si votre organisation utilise ces hiérarchies, utilisez ce format afin de créer des certificats de CA..arm Un fichier.arm contient une représentation ASCII (base 64) d un certificat, y compris sa clé publique, mais sans sa clé privée. Le format de fichier.arm est généré et utilisé par l utilitaire IBM Key Management. Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 39

56 Format.der Un fichier.der contient des données binaires. Il s utilise uniquement pour un seul certificat, contrairement au fichier.pem, qui peut contenir plusieurs certificats. Format.pfx (PKCS12) Un fichier PKCS12 est un fichier transférable contenant un certificat et une clé privée correspondante. Ce format permet d effectuer une conversion d un type d implémentation SSL vers une implémentation différente. Par exemple, vous pouvez créer et exporter un fichier PKCS12 à l aide de l utilitaire IBM Key Management, puis importer le fichier sur une autre machine à l aide de l utilitaire CertTool. Utilisation de l authentification SSL Lorsque vous démarrez l adaptateur, les protocoles de connexion disponibles sont chargés. Le protocole DAML est le seul protocole disponible qui prend en charge l utilisation de l authentification SSL. Vous pouvez spécifier l utilisation de l implémentation SSL du protocole DAML. L implémentation SSL du protocole DAML utilise un registre de certificat pour conserver des clés privées et des certificats. L emplacement du registre de certificats est géré en interne par la clé CertTool et l outil de gestion des certificats. Par conséquent, vous ne devez pas spécifier l emplacement du registre lorsque vous effectuez les tâches de gestion des certificats. Pour plus d informations sur le protocole DAML, consultez la section «Modification des paramètres de configuration du protocole», à la page 13. Configuration des certificats pour l authentification SSL Utilisez les procédures suivantes pour configurer l adaptateur pour l authentification SSL unidirectionnelle ou bidirectionnelle à l aide des certificats d auto-signature. Pour effectuer ces procédures, utilisez l utilitaire CertTool. Configuration des certificats pour l authentification SSL unidirectionnelle Dans ce scénario, le serveur Tivoli Identity Manager et l adaptateur Tivoli Identity Manager sont paramétrés pour l utilisation SSL. L authentification client n est définie sur aucune des applications. Le serveur Tivoli Identity Manager fait office de client SSL et démarre des connexions. L adaptateur agit en tant que serveur SSL et répond en envoyant un certificat signé au serveur Tivoli Identity Manager. Le serveur Tivoli Identity Manager utilise le certificat de CA installé pour valider le certificat envoyé par l adaptateur. Dans la figure 2, à la page 41, l application A agit en tant que serveur Tivoli Identity Manager et l application B agit en tant qu adaptateur Tivoli Identity Manager. 40 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

57 Serveur Tivoli Identity Manager (client SSL) 1 Contact Adaptateur Tivoli Identity Manager (serveur SSL) C Magasin de clés Certificat de CA A Vérification Envoi certificat B Certificat A Figure 2. Authentification SSL unidirectionnelle (authentification serveur) Pour configurer une authentification SSL unidirectionnelle, effectuez les tâches suivantes pour chaque application : 1. Effectuez ces étapes sur l adaptateur : a. Démarrez l utilitaire CertTool. b. Pour configurer l application serveur SSL avec un certificat signé émis par une autorité de certification : 1) Créez une requête de certificat serveur (CSR) et une clé privée. Cette étape permet de créer le certificat avec une clé publique incorporée et une clé privée distincte et de placer la clé privée PENDING_KEY dans la valeur de registre. 2) Veuillez soumettre le certificat CSR à l autorité de certification en suivant les instructions fournies par la CA. Lors de cette étape, indiquez que vous souhaitez le renvoi du certificat de CA racine avec le certificat serveur. 2. Effectuez l une de ces étapes sur le serveur Tivoli Identity Manager : v Si vous configurez l utilisation d un certificat signé émis par une autorité CA identifiée, assurez-vous que le serveur Tivoli Identity Manager a stocké le certificat racine de l autorité CA (certificat de CA) dans son magasin de clés. Si le magasin de clés ne contient pas le certificat de CA, procédez à l extraction du certificat de CA de l adaptateur et ajoutez-le dans le magasin de clés du serveur. v Si vous configurez l utilisation des certificats d auto-signature : Si vous avez généré le certificat d auto-signature sur le serveur Tivoli Identity Manager, le certificat est déjà installé dans son magasin de clés. Si vous avez généré le certificat d auto-signature à l aide de l utilitaire de gestion de clés d une autre application, procédez à l extraction du certificat à partir du magasin de clés de cette application et ajoutez-le dans le magasin de clés du serveur Tivoli Identity Manager. Configuration des certificats pour l authentification SSL bidirectionnelle Dans ce scénario, le serveur Tivoli Identity Manager et l adaptateur Tivoli Identity Manager sont paramétrés pour l utilisation de l authentification SSL et l adaptateur est paramétré pour l utilisation de l authentification client. Lors de la procédure d envoi de ses certificats au serveur Tivoli Identity Manager, l adaptateur demande Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 41

58 une vérification d identité au serveur qui envoie ses certificats signés à l adaptateur. Les deux applications sont configurées avec des certificats signés et les certificats de CA correspondants. Dans la figure 3, le serveur Tivoli Identity Manager agit en tant qu application A et l adaptateur Tivoli Identity Manager en tant qu application B. Serveur Tivoli Identity Manager (client SSL) Magasin de clés Contact Adaptateur Tivoli Identity Manager (serveur C SSL) C Certificat de CA A Vérification Envoi certificat A Certificat A Envoi certificat A Certificat B Vérification Certificat de CA B Envoi certificat B Figure 3. Authentification SSL bidirectionnelle (authentification client)) La procédure suivante suppose que vous avez déjà configuré l adaptateur et le serveur Tivoli Identity Manager pour l authentification unidirectionnelle à l aide de la procédure décrite dans la section «Configuration des certificats pour l authentification SSL unidirectionnelle», à la page 40. Par conséquent, si vous utilisez les certificats signés d une autorité CA : v L adaptateur est configuré avec une clé privée et un certificat signé émis par une autorité CA. v Le serveur Tivoli Identity Manager est configuré avec un certificat de CA de l autorité de certification qui a émis le certificat signé de l adaptateur. Pour configurer les certificats pour l authentification SSL bidirectionnelle, procédez comme suit : 1. Sur le serveur Tivoli Identity Manager, créez une requête de certificat serveur (CSR) et une clé privée, procurez-vous un certificat auprès d une autorité de certification, installez le certificat de CA, installez le nouveau certificat signé et procédez à l extraction d un certificat de CA dans un fichier temporaire. 2. Sur l adaptateur, ajoutez le certificat de CA extrait du magasin de clés du serveur Tivoli Identity Manager vers l adaptateur. Lorsque vous avez terminé la configuration bidirectionnelle du certificat, chaque application dispose de son propre certificat et de sa propre clé privée ainsi que du certificat de CA de l autorité de certification qui a émis les certificats pour chaque application. Configuration des certificats lorsque l adaptateur agit en tant que client SSL Dans ce scénario, l adaptateur agit en tant que client SSL tout en agissant en tant que serveur SSL. Le scénario s applique si l adaptateur lance une connexion vers le serveur Web (utilisé par le serveur Tivoli Identity Manager) pour envoyer une 42 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

59 notification d événements. Par exemple, l adaptateur lance la connexion et le serveur Web répond en présentant ses certificats à l adaptateur. La figure 4 illustre la manière dont l adaptateur Tivoli Identity Manager agit en tant que serveur SSL et client SSL. Lorsqu il communique avec le serveur Tivoli Identity Manager, l adaptateur envoie ses certificats pour l authentification. Lorsqu il communique avec le serveur Web, l adaptateur reçoit le certificat du serveur Web. Certificat A Certificat de CA C Certificat de CA A Adaptateur Tivoli Identity Manager A Contact Certificat A Serveur Tivoli Identity Manager B Certificat C Contact Serveur Web Certificat C C Figure 4. Adaptateur Tivoli Identity Manager agissant en tant que serveur SSL et client SSL Si le serveur Web est configuré pour l authentification SSL bidirectionnelle, il vérifie l identité de l adaptateur qui envoie ses certificats signés au serveur Web (non illustré dans la figure). Pour activer l authentification SSL bidirectionnelle entre l adaptateur et le serveur Web, utilisez la procédure suivante : 1. Configurez le serveur Web pour l utilisation de l authentification client. 2. Suivez la procédure pour créer et installer un certificat signé sur le serveur Web. 3. Installez le certificat de CA sur l adaptateur à l aide de l utilitaire CertTool. 4. Ajoutez le certificat correspondant au certificat signé de l adaptateur sur le serveur Web. Pour plus d informations sur la configuration des certificats lorsque l adaptateur démarre une connexion sur le serveur Web (utilisé par le serveur Tivoli Identity Manager) pour envoyer une notification d événements, consultez le centre de documentation Tivoli Identity Manager Information Center. Gestion des certificats SSL à l aide de l outil CertTool Les procédures contenues dans cette section décrivent comment utiliser l utilitaire CertTool pour gérer les clés privées et les certificats. Cette section comprend des instructions relatives à la réalisation des tâches suivantes : v «Démarrage de l outil CertTool», à la page 44. v «Génération d une clé privée et d une demande de certificat», à la page 46. v «Installation du certificat», à la page 47. v «Installation du certificat et de la clé à partir d un fichier PKCS12», à la page 47. Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 43

60 v «Affichage des certificats installés», à la page 48. v «Affichage des certificats de CA», à la page 48. v «Installation d un certificat de CA», à la page 48. v «Suppression d un certificat de CA», à la page 49. v «Affichage des certificats enregistrés», à la page 49. v «Enregistrement d un certificat», à la page 49. v «Annulation de l enregistrement d un certificat», à la page 49. Démarrage de l outil CertTool Pour lancer l outil de configuration des certificats, CertTool, pour l adaptateur de la base de données Oracle, effectuez les étapes suivantes : 1. Sélectionnez l option Programmes dans le menu Démarrer, puis l option Accessoires suivie de l option Invite de commandes. 2. Dans la fenêtre d invite de commande DOS Microsoft Windows, accédez au répertoire bin de l adaptateur. Par exemple, si le répertoire de l adaptateur de la base de données Oracle se trouve dans l emplacement par défaut, entrez la commande suivante : cd C:\Tivoli\Agents\OracleAgent\bin 3. Entrez CertTool -agent OracleAgent à l invite de commande. Le menu principal apparaît à l écran : Main menu - Configuring agent: OracleAgent A. Generate private key and certificate request B. Install certificate from file C. Install certificate and key from PKCS12 file D. View current installed certificate E. List CA certificates F. Install a CA certificate G. Delete a CA certificate H. List registered certificates I. Register certificate J. Unregister a certificate K. Export certificate and key to PKCS12 file X. Quit Option : Dans le menu principal, vous pouvez générer une clé privée et une demande de certificat, installer et supprimer les certificats, enregistrer et annuler l enregistrement des certificats et répertorier des certificats. Les sections suivantes passent en revue la fonction de chaque groupe d objets. La première série d options (A à D) vous permet de générer une requête de certificat serveur (RSC) et d installer le certificat signé renvoyé sur l adaptateur. A. Generate private key and certificate request Génère une demande de certificat serveur et la clé privée associée envoyées à l organisme de certification. Pour plus d informations sur l option A, consultez la section «Génération d une clé privée et d une demande de certificat», à la page 46. B. Install certificate from file Installer un certificat à partir d un fichier. Ce fichier doit correspondre au 44 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

61 certificat signé renvoyé par l autorité de certification en réponse à la demande de certificat CSR générée par l option A. Pour plus d informations sur l option B, consultez la section «Installation du certificat», à la page 47. C. Install certificate and key from a PKCS12 file Installer un certificat à partir d un fichier au format PKCS12, contenant à la fois le certificat public et une clé privée. Si vous n utilisez pas les options A et B pour obtenir un certificat, vous devez utiliser un certificat au format PKCS12. Pour plus d informations sur l option C, consultez la section «Installation du certificat et de la clé à partir d un fichier PKCS12», à la page 47. D. View current installed certificate Affiche les certificats installés sur le système. Pour plus d informations sur l option D, consultez la section «Affichage des certificats installés», à la page 48. La seconde série d options vous permet d installer des certificats d autorité d accréditation de niveau racine sur l adaptateur. Un certificat de CA est utilisé par l adaptateur Tivoli Identity Manager pour valider le certificat correspondant présenté par un client, tel que le serveur Tivoli Identity Manager. E. List CA certificates Afficher les certificats de l autorité de certification installés. L adaptateur communique uniquement avec les serveurs Tivoli Identity Manager dont les certificats sont validés par l un des certificats de l autorité de certification installés. F. Install a CA certificate Installer le nouveau certificat d une autorité de certification pour valider les certificats générés par cette autorité. Le fichier de certification émis par l autorité de certification doit être au format X.509 ou PEM. Pour plus d informations sur l installation d un certificat de CA, consultez la section «Installation d un certificat de CA», à la page 48. G. Delete a CA certificate Supprimer l un des certificats installés émis par l autorité de certification. Pour plus d informations sur la suppression d un certificat de CA, consultez la section «Suppression d un certificat de CA», à la page 49. Les options restantes (H à K) concernent les adaptateurs qui doivent authentifier l application (par exemple, le serveur Tivoli Identity Manager ou le serveur Web) à laquelle l adaptateur envoie des informations. Ces options vous permettent d enregistrer des certificats sur l adaptateur. Pour Tivoli Identity Manager version 4.5 ou versions ultérieures, le serveur Tivoli Identity Manager doit être enregistré avec un adaptateur pour activer l authentification client sur l adaptateur. Si vous ne souhaitez pas procéder à la mise à niveau d un adaptateur existant pour qu il prenne en charge l utilisation de l authentification client, le certificat signé présenté au serveur Tivoli Identity Manager doit être enregistré avec l adaptateur. Si vous configurez l adaptateur pour la notification des événements ou que l authentification client est désactivée dans le protocole DAML, vous devez installer les certificats de CA correspondants au certificat signé du serveur Tivoli Identity Manager à l aide de l option F, Install a CA certificate. H. List registered certificates Répertorier tous les certificats enregistrés acceptés pour établir des Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 45

62 communications. Pour plus d informations sur le listage des certificats enregistrés, consultez la section «Affichage des certificats enregistrés», à la page 49. I. Register a certificate Enregistrer un nouveau certificat. Le certificat à enregistrer doit être au format X.509 Base 64 ou PEM. Pour plus d informations sur l enregistrement des certificats, consultez la section «Enregistrement d un certificat», à la page 49. J. Unregister a certificate Annuler l enregistrement (supprimer) d un certificat de la liste des certificats enregistrés. Pour plus d informations sur l annulation de l enregistrement des certificats, consultez la section «Annulation de l enregistrement d un certificat», à la page 49. K. Export certificate and key to PKCS12 file Exporte le certificat installé ultérieurement et la clé privée. Vous serez invité à entrer le nom de fichier et à chiffrer le mot de passe. Pour plus d informations sur l exportation d un certificat et de la clé d un fichier PKCS12, consultez la section «Exportation d un certificat et de la clé vers le fichier PKCS12», à la page 50. Génération d une clé privée et d une demande de certificat Une requête de certificat serveur est un certificat non signé sous la forme d un fichier texte. Lorsque vous soumettez un certificat non signé à une autorité de certification, celle-ci signe le certificat avec les signatures numériques privées incluses dans leur certificat de CA respectif. Lorsque la requête de certificat serveur est signée, elle devient alors un certificat valide. Une requête de certificat serveur contient les informations relatives à votre organisation, comme le nom de l entreprise, le pays et la clé privée de votre serveur Web. Pour générer un fichier CSR, procédez comme suit : 1. Dans le menu principal de l outil CertTool, entrez la lettre A. Le message et l invite suivants s affichent : Enter values for certificate request (press enter to skip value) A l invite Organization, entrez le nom de l entreprise et appuyez sur Entrée. 3. A l invite Organizational Unit, entrez l unité organisationnelle et appuyez sur Entrée. 4. A l invite Agent Name, indiquez le nom de l adaptateur pour lequel vous demandez un certificat et appuyez sur Entrée. 5. A l invite , entrez l adresse de messagerie électronique du contact de la requête et appuyez sur Entrée. 6. A l invite State, indiquez l état où réside l adaptateur (s il réside aux Etats-Unis) et appuyez sur Entrée. Certaines autorités de certification n acceptent pas les abréviations de deux lettres pour désigner les états, aussi vous devez entrer le nom complet de l état. 7. A l invite Country, indiquez le pays dans lequel l adaptateur réside et appuyez sur Entrée. 8. A l invite Locality, indiquez le nom de la ville dans laquelle l adaptateur réside et appuyez sur Entrée. 9. A l invite Accept these values, tapez Y pour accepter les valeurs affichées ou N pour indiquer de nouvelles valeurs, puis appuyez sur Entrée. 46 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

63 La clé privée et la demande de certificat sont générées une fois que les valeurs sont acceptées. 10. A l invite Enter name of file to store PEM cert request, indiquez le nom du fichier que vous souhaitez utiliser pour conserver les valeurs que vous avez spécifiées lors des étapes précédentes et appuyez sur Entrée. 11. Appuyez sur Entrée pour continuer. La demande de certificat et les valeurs d entrée sont inscrites dans le fichier que vous avez spécifié et le menu principal s affiche à nouveau. Vous pouvez à présent demander un certificat émis par une autorité de certification habilitée en envoyant le fichier.pem que vous venez de générer à un fournisseur d autorité de certification. Exemple de demande de signature de certificat Votre fichier CSR ressemblera à l exemple suivant : -----BEGIN CERTIFICATE REQUEST----- MIIB1jCCAT8CAQAwgZUxEjAQBgNVBAoTCWFjY2VzczM2MDEUMBIGA1UECxMLZW5n aw5lzxjpbmcxedaobgnvbamtb250ywdlbnqxjdaibgkqhkig9w0bcqewfw50ywdl bnraywnjzxnzmzywlmnvbtelmakga1uebhmcvvmxezarbgnvbagtcknhbglmb3ju awexdzanbgnvbactbklydmluztcbnzanbgkqhkig9w0baqefaaobjqawgykcgyea mr6acpnwf6hllc72bmukawaxcebtxcocnnth9uc8vumhpbimagjuc4s91hprilg7 UtlbOfy6X3R3kbeR8apRR9uLYrPIvQ1b4NK0whsytij6syCySaFQIB6V7RPBatFr 6XQ9hpsARdkGytZmGTgGTJ1hSS/jA6mbxpgmttz9HPECAwEAAaAAMA0GCSqGSIb3 DQEBAgUAA4GBADxA1cDkvXhgZntHkwT9tCTqUNV9sim8N/U15HgMRh177jVaHJqb N1Er46vQSsOOOk4z2i/XwOmFkNNTXRVl9TLZZ/D+9mGZcDobcO+lbAKlePwyufxK Xqdpu3d433H7xfJJSNYLYBFkrQJesITqKft0Q45gIjywIrbctVUCepL END CERTIFICATE REQUEST----- Installation du certificat Lorsque vous avez reçu votre certificat de votre autorité de certification habilitée, installez-le dans le registre de l adaptateur. Pour installer le certificat, procédez comme suit : 1. Si vous avez reçu le certificat dans un message électronique, copiez le texte du certificat dans un fichier texte, puis copiez le fichier dans le répertoire bin de l adaptateur. Par exemple, C:\Tivoli\Agents\OracleAgent\bin 2. Dans le menu principal de l outil CertTool, entrez la lettre B. L invite suivante apparaît à l écran : Enter name of certificate file: A l invite Enter name of certificate file, indiquez le chemin absolu du fichier de certification et appuyez sur Entrée. Le certificat est installé dans le registre de l adaptateur et le menu principal réapparaît à l écran. Installation du certificat et de la clé à partir d un fichier PKCS12 Si vous n utilisez pas l utilitaire CertTool pour générer une requête de certificat serveur et obtenir un certificat, vous devez installer le certificat et la clé privée qui doivent être conservés dans un fichier PKCS12. L autorité de certification peut envoyer un fichier protégé par un mot de passe, ou fichier PKCS12 (un fichier avec l extension.pfx ), comprenant le certificat et la clé privée. Pour installer le certificat à partir du fichier PKCS12, procédez comme suit : 1. Copiez le fichier PKCS12 dans le répertoire bin de l adaptateur. Par exemple, C:\Tivoli\Agents\OracleAgent\bin Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 47

64 2. Dans le menu principal de l outil CertTool, entrez la lettre C. L invite suivante apparaît à l écran : Enter name of PKCS12 file: A l invite Enter name of PKCS12 file, indiquez le nom du fichier PKCS12 qui contient les informations relatives au certificat et à la clé privée et appuyez sur Entrée. Par exemple, DamlSrvr.pfx. 4. A l invite Enter password, entrez le mot de passe pour accéder au fichier et appuyez sur Entrée. Le certificat et la clé privée sont installés dans le registre de l adaptateur et le menu principal apparaît à l écran. Affichage des certificats installés Pour répertorier les certificats installés sur votre système, entrez la lettre D dans le menu principal de l outil CertTool,. Le certificat installé est répertorié et le menu principal s affiche. L exemple suivant répertorie un certificat installé : The following certificate is currently installed. Subject: c=us,st=california,l=irvine,o=daml,cn=daml Server Installation d un certificat de CA Si vous utilisez l authentification client, vous devez installer un certificat de CA. Le certificat de CA que vous avez installé est émis par une autorité de certification. Pour installer un certificat de CA extrait dans un fichier temporaire, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre F (Install a CA certificate). L invite suivante apparaît à l écran : Enter name of certificate file: 2. A l invite Enter name of certificate file, entrez le nom du fichier de certification, tel que le fichier DamlCACerts.pem, et appuyez sur Entrée. Le fichier de certification est ouvert et l invite suivante s affiche : [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Install the CA? (Y/N) 3. A l invite Install the CA, tapez Y pour installer le certificat et appuyez sur Entrée. Le fichier de certification est installé dans le fichier CACerts.pem. Affichage des certificats de CA CertTool installe un seul certificat et une seule clé privée. Pour répertorier le certificat de CA installé sur l adaptateur, entrez la lettre E à l invite du menu principal Main Menu. Les certificats installés s affichent et le menu principal apparaît à l écran. L exemple suivant répertorie un certificat de CA installé : Subject: o=ibm,ou=samplecacert,cn=testca Valid To: Wed Jul 26 23:59: IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

65 Suppression d un certificat de CA Pour supprimer un certificat de CA des répertoires de l adaptateur, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre G. Une liste de tous les certificats de CA installés sur l adaptateur s affiche. 0 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Enter number of CA certificate to remove: 2. A l invite Enter number of CA certificate to remove, entrez le numéro du certificat de CA que vous souhaitez supprimer et appuyez sur Entrée. Le certificat de l autorité de certification est supprimé du fichier CACerts.pem et le menu principal réapparaît à l écran. Affichage des certificats enregistrés Seules les requêtes présentant un certificat enregistré seront acceptées par l adaptateur si la validation client est activée. Pour afficher une liste de tous les certificats enregistrés disponibles de l adaptateur, entrez la lettre H à l invite du menu principal Main Menu. Les certificats enregistrés s affichent et le menu principal apparaît à l écran. L exemple suivant répertorie les certificats enregistrés : 0 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=support,cn=support Enregistrement d un certificat Pour enregistrer un certificat pour l adaptateur, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre I. L invite suivante apparaît à l écran : Enter name of certificate file: 2. A l invite Enter name of certificate file, entrez le nom du fichier de certification que vous souhaitez enregistrer et appuyez sur Entrée. Le sujet du certificat s affiche et une invite apparaît, par exemple : [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Register this CA? (Y/N) 3. A l invite Register this CA, entrez la lettre Y pour enregistrer le certificat et appuyez sur Entrée. Le certificat est enregistré dans l adaptateur et le menu principal réapparaît à l écran. Annulation de l enregistrement d un certificat Pour annuler l enregistrement d un certificat de l adaptateur, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre J. Les certificats enregistrés s affichent. L exemple suivant répertorie les certificats enregistrés : 0 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng 1 - [email protected],c=us,st=california,l=irvine,o=ibm,ou=support,cn=support 2. Entrez le numéro du fichier de certification que vous souhaitez supprimer et appuyez sur Entrée. Chapitre 5. Configuration de l authentification SSL pour l adaptateur de la base de données Oracle 49

66 Le sujet du certificat sélectionné s affiche et une invite apparaît, par exemple : [email protected],c=us,st=california,l=irvine,o=ibm,ou=engineering,cn=eng Unregister this CA? (Y/N) 3. A l invite Unregister this CA, entrez la lettre Y pour supprimer le certificat et appuyez sur Entrée. Le certificat est supprimé de la liste des certificats enregistrés de l adaptateur et le menu principal réapparaît à l écran. Exportation d un certificat et de la clé vers le fichier PKCS12 Pour exporter un certificat et une clé vers un fichier PKCS12 de l adaptateur, procédez comme suit : 1. A l invite du menu principal Main Menu, entrez la lettre K. L invite suivante apparaît à l écran : Enter name of PKCS12 file: 2. A l invite Enter name of PKCS12 file, entrez le nom du fichier PKCS12 du certificat installé ou de la clé privée et appuyez sur Entrée. 3. A l invite Enter Password, entrez le mot de passe du fichier PKCS12 et appuyez sur Entrée. 4. A l invite Confirm Password, entrez à nouveau le mot de passe et appuyez sur Entrée. Le certificat ou la clé privée est exporté vers le fichier PKCS12 et le menu principal réapparaît à l écran. 50 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

67 Chapitre 6. Personnalisation de l adaptateur de la base de données Oracle Vous pouvez mettre à jour le fichier JAR de l adaptateur de la base de données Oracle, OracleProfile.jar, pour modifier le schéma de l adaptateur, le formulaire de compte, le formulaire de service et les propriétés du profil. Pour effectuer ces mises à jour, vous devez extraire les fichiers du fichier JAR, effectuer les modifications dans les fichiers requis et replacer le fichier JAR avec les fichiers mis à jour. Pour personnaliser le profil de l adaptateur de la base de données Oracle, procédez comme suit : 1. Copiez le fichier JAR dans un répertoire temporaire et procédez à l extraction des fichiers. Pour plus de détails sur l extraction, consultez la section «Copie du fichier OracleProfile.jar et extraction des fichiers». 2. Apportez les modifications nécessaires dans le fichier. 3. Installez les nouveaux attributs sur le serveur Tivoli Identity Manager. Pour plus d informations sur cette procédure, consultez la section «Création d un nouveau fichier JAR et installation des nouveaux attributs sur le serveur Tivoli Identity Manager», à la page 52. Copie du fichier OracleProfile.jar et extraction des fichiers Le fichier JAR des profils, OracleProfile.jar, est intégré au fichier compressé de l adaptateur de la base de données Oracle que vous avez téléchargé à partir du site Web d IBM. Il comprend les fichiers suivants : v v v v v CustomLabels.properties eroracleaccount.xml eroracledamlservice.xml resource.def schema.dsml v xforms.xml Vous pouvez modifier ces fichiers si vous souhaitez personnaliser votre environnement. Une fois que vous avez mis à jour le fichier JAR des profils, installez-le sur le serveur Tivoli Identity Manager. Pour plus d informations sur l installation des profils, reportez-vous à la section «Importation du profil de l adaptateur dans le serveur Tivoli Identity Manager», à la page 6. Pour modifier le fichier OracleProfile.jar, effectuez les opérations suivantes : 1. Connectez-vous au système sur lequel l adaptateur de la base de données Oracle est installé. 2. Cliquez sur Démarrer, puis sélectionnez Programmes Accessoires Invite de commandes. 3. Copiez le fichier OracleProfile.jar dans un répertoire temporaire. 4. Extrayez le contenu du fichier dans ce même répertoire, en exécutant la commande ci-après : cd c:\temp jar -xvf OracleProfile.jar Copyright IBM Corp. 2003,

68 La commande jar crée le répertoire c:\temp\oracleprofile. 5. Editez le fichier adéquat. Création d un nouveau fichier JAR et installation des nouveaux attributs sur le serveur Tivoli Identity Manager Une fois les fichiers schema.dsml et CustomLabels.properties modifiés, vous devez les importer, de même que tous les fichiers qui ont été modifiés pour l adaptateur, sur le serveur Tivoli Identity Manager pour que les changements soient appliqués. Pour installer les nouveaux attributs, procédez de la façon suivante : 1. Créez un fichier JAR dans lequel vous stockez les fichiers du répertoire \temp par l intermédiaire des commandes ci-après : cd c:\temp jar -cvf OracleProfile.jar OracleProfile 2. Importez le fichier OracleProfile.jar sur le serveur d applications Tivoli Identity Manager. Pour plus d informations sur cette procédure, reportez-vous à la section «Importation du profil de l adaptateur», à la page Arrêtez et redémarrez le serveur d annuaire. 4. Arrêtez le service de l adaptateur de la base de données Oracle, puis redémarrez-le afin que les modifications soient prises en compte. Gestion des mots de passe lors de la restauration de comptes Lorsque vous restaurez les comptes d une personne qui avaient été préalablement suspendus, vous êtes invité à saisir un nouveau mot de passe pour les comptes rétablis. Dans certaines circonstances cependant, il se peut que vous souhaitiez éviter de remplir cette obligation. L indication d un mot de passe pour la restauration d un compte sur la base de données Oracle se décline de deux façons : elle peut être autorisée ou requise. Le mode d interaction de chaque action de restauration avec la ressource gérée correspondante dépend soit de cette dernière, soit des processus métier mis en oeuvre. Certaines ressources rejettent le mot de passe indiqué suite à la demande de restauration d un compte. Le cas échéant, vous pouvez configurer Tivoli Identity Manager pour qu il ne tienne pas compte de cette obligation de saisir un mot de passe. Si votre entreprise a mis en place un processus métier qui implique la réinitialisation du mot de passe au moment de la restauration d un compte, vous pouvez faire en sorte que l adaptateur de la base de données Oracle demande la saisie d un nouveau mot de passe à l occasion de la restauration du compte. Dans le fichier resource.def, vous pouvez préciser, en tant que nouvelle option de protocole, si un mot de passe est requis ou non. Lorsque vous importez le profil de l adaptateur, si aucune option n est spécifiée, le programme d importation se base sur les fichiers schema.dsml et xforms.xml pour déterminer la stratégie adéquate à adopter concernant le mot de passe. Les composants du profil de l adaptateur activent en outre des services distants afin de savoir si le mot de passe entré par l utilisateur doit être ou non pris en compte dans l éventualité de la restauration de plusieurs comptes liés à des ressources disparates. Dans un tel scénario, une partie seulement des comptes restaurés peuvent requérir un mot de passe. Les services distants ne tiennent pas compte du mot de passe indiqué au cours de l opération de restauration pour les ressources gérées pour lesquelles ils ne sont pas obligatoires. 52 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

69 Pour configurer l adaptateur de la base de données Oracle de façon à ne pas demander de nouveau mot de passe lors de la restauration de comptes : 1. Arrêtez le serveur Tivoli Identity Manager. 2. Procédez à l extraction des fichiers inclus dans le fichier OracleProfile.jar. Pour plus d informations sur la personnalisation du fichier du profil de l adaptateur, reportez-vous à la section «Copie du fichier OracleProfile.jar et extraction des fichiers», à la page Accédez au répertoire \OracleProfile dans lequel le fichier resource.def a été créé. 4. Modifiez ce fichier en y ajoutant les nouvelles options de protocole, par exemple : <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_REQUIRED_ON_RESTORE" Value = "TRUE"/> <Property Name = "com.ibm.itim.remoteservices.resourceproperties. PASSWORD_NOT_ALLOWED_ON_RESTORE" Value = "FALSE"/> En ajoutant les deux options fournies dans l exemple ci-dessus, vous êtes sûr de ne pas avoir à saisir un mot de passe au moment de la restauration d un compte. 5. Créez un fichier OracleProfile.jar à l aide du fichier resource.def et importez le fichier du profil de l adaptateur sur le serveur Tivoli Identity Manager. Pour plus d informations, reportez-vous à la section «Création d un nouveau fichier JAR et installation des nouveaux attributs sur le serveur Tivoli Identity Manager», à la page Redémarrez le serveur Tivoli Identity Manager. Remarque : Si vous mettez à niveau un profil d adaptateur existant, le nouveau schéma n est pas immédiatement appliqué. Vous devez arrêter, puis redémarrer le serveur Tivoli Identity Manager pour que la mémoire cache, et par conséquent le schéma de l adaptateur, soient régénérés. Pour plus d informations sur la mise à niveau d un adaptateur, reportez-vous à la section «Mise à niveau de l adaptateur de la base de données Oracle», à la page 55. Chapitre 6. Personnalisation de l adaptateur de la base de données Oracle 53

70 54 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

71 Chapitre 7. Mise à niveau de l adaptateur de la base de données Oracle ou d ADK Vous pouvez mettre à niveau soit l adaptateur de la base de données Oracle, soit ADK (Adapter Development Kit). ADK représente le composant de base de l adaptateur. Il est identique pour l ensemble des adaptateurs ; cependant, les fonctionnalités supplémentaires des adaptateurs sont propres à la ressource gérée. Vous pouvez décider de mettre à niveau un adaptateur en vue de migrer votre installation actuelle vers une version plus récente, par exemple vers la version 4.6 si vous possédez la version 4.4. La mise à niveau de l adaptateur, à l inverse de sa réinstallation, vous permet de conserver vos paramètres de configuration. Par ailleurs, vous n êtes pas obligé de désinstaller la version en cours pour installer la nouvelle version. Toutefois, si une correction a été apportée au code d ADK, il vous suffit de mettre uniquement ADK à niveau vers la nouvelle version, et non l adaptateur complet. Mise à niveau de l adaptateur de la base de données Oracle Mise à niveau d ADK Lors d une mise à niveau, si vous souhaitez conserver vos paramètres de configuration en cours ainsi que le certificat et la clé privée, ne désinstallez pas l ancienne version de l adaptateur avant d installer la nouvelle. Au cours de l installation de la nouvelle version, indiquez le même répertoire d installation que celui dans lequel figure déjà l ancienne version. Pour plus d informations sur la procédure d installation de l adaptateur, reportez-vous au Chapitre 2, «Installation et configuration de l adaptateur de la base de données Oracle», à la page 3. Si vous possédez actuellement la version 4.4 ou 4.5 de l adaptateur de la base de données Oracle et voulez installer la version 4.6, une mise à niveau de l adaptateur est nécessaire. Cette mise à niveau s effectue en plusieurs étapes, que vous devez suivre dans l ordre dans lequel elles sont indiquées. Pour mettre à niveau l adaptateur, effectuez les opérations suivantes : 1. Arrêtez le service adaptateur de la base de données Oracle. 2. Installez la nouvelle version de l adaptateur. Lorsque vous avez mis à niveau l adaptateur et le démarrez pour la première fois, de nouveaux fichiers journaux sont générés et viennent remplacer les anciens. ADK se compose de la bibliothèque d exécution, de la fonctionnalité de filtrage et de notification d événements, des paramètres de protocole et des données de journalisation. Les autres éléments de l adaptateur incluent notamment les fonctions d ajout, de modification, de suppression et de recherche. Alors qu ADK est identique pour tous les adaptateurs, les autres fonctionnalités sont propres à la ressource gérée. Vous pouvez mettre à niveau le composant ADK des adaptateurs actuellement installés sur votre machine par l intermédiaire du programme de mise à niveau d ADK. Dans ce cas, l installation d ADK, et non de l adaptateur complet, suffit. La Copyright IBM Corp. 2003,

72 Fichiers bibliothèque ADK et la bibliothèque du protocole DAML sont mises à jour dans le cadre de la mise à niveau d ADK. C est également le cas des fichiers binaires des outils agentcfg et CertTool. Avant la mise à niveau des fichiers d ADK, le programme de mise à niveau vérifie la version en cours du composant. Si celle-ci est postérieure à la version que vous tentez d installer, un message d avertissement est affiché. Pour mettre à niveau le composant ADK de l adaptateur de la base de données Oracle, procédez de la manière suivante : 1. Téléchargez le fichier compressé contenant le programme de mise à niveau d ADK à partir du site Web d IBM. 2. Procédez à l extraction du contenu du fichier dans un répertoire temporaire. 3. Arrêtez le service adaptateur de la base de données Oracle. 4. Lancez le programme de mise à niveau à l aide du fichier adkinst_win32.exe stocké dans le répertoire temporaire. L une des possibilités consiste à sélectionner Exécuter dans le menu Démarrer, puis à entrer C:\TEMP\adkinst_win32.exe dans la zone Ouvrir. Si aucun adaptateur n est installé, le message d erreur ci-après est généré et le programme est fermé : Aucun adaptateur installé - Impossible d installer ADK. 5. Dans la fenêtre de bienvenue, cliquez sur Suivant. 6. Dans la fenêtre du contrat de licence relatif au logiciel, prenez connaissance dudit contrat et acceptez ou rejetez ses conditions. Si vous les acceptez, cliquez sur Accepter. 7. Dans la fenêtre de récapitulatif de l installation, cliquez sur Suivant afin de commencer l installation. 8. Dans la fenêtre indiquant la fin de l installation, cliquez sur Terminer pour fermer le programme. journaux Les entrées de journalisation sont stockées dans les fichiers <VersionADK>Installer.log et <VersionADK>Installeropt.log, <VersionADK> étant la version du composant ADK (par exemple, ADK46Installer.log et ADK46Installeropt.log). Ces fichiers sont créés dans le dossier à partir duquel est exécuté le programme d installation. 56 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

73 Chapitre 8. Désinstallation de l adaptateur de la base de données Oracle Avant de désinstaller l adaptateur, vous devez prévenir les utilisateurs que l adaptateur de la base de données Oracle va être supprimé du système et ne sera donc plus disponible. Si le serveur passe en mode Hors ligne, les demandes en cours de l adaptateur de la base de données Oracle ne pourront pas être récupérées lorsque le serveur repassera en mode En ligne. Pour supprimer l adaptateur de la base de données Oracle, procédez comme suit : 1. Arrêtez le service adaptateur de la base de données Oracle. 2. Ouvrez l Explorateur Windows, recherchez le fichier uninstaller.exe, situé sous <répertoire_adaptateur>\_uninst\ (où répertoire_adaptateur représente le répertoire d installation de l adaptateur), puis exécutez-le. 3. Dans la fenêtre de bienvenue, cliquez sur Suivant. 4. Dans la fenêtre de récapitulatif de désinstallation de l adaptateur de la base de données Oracle, cliquez à nouveau sur Suivant. 5. Cliquez sur Terminer. Vérifiez que la désinstallation est terminée en vous assurant que le répertoire de l adaptateur de la base de données Oracle ne contient plus de répertoires ni de sous-répertoires ou fichiers. L instance de l adaptateur de la base de données Oracle que vous avez désinstallée ne doit plus figurer dans la fenêtre Services. Copyright IBM Corp. 2003,

74 58 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

75 Annexe A. Attributs de l adaptateur Descriptions des attributs Dans le cadre de l implémentation de l adaptateur, un compte dédié à Tivoli Identity Manager pour accéder à la base de données Oracle est créé sur cette dernière. L adaptateur de la base de données Oracle se compose de fichiers et de répertoires détenus par le compte Tivoli Identity Manager. Ces fichiers établissent les communications avec le serveur Tivoli Identity Manager. Le serveur Tivoli Identity Manager communique avec l adaptateur de la base de données Oracle en utilisant les attributs indiqués dans des paquets de transmission envoyés sur un réseau. La combinaison d attributs inclus dans les paquets varie en fonction du type d action que le serveur Tivoli Identity Manager demande à l adaptateur de la base de données Oracle d exécuter. Le tableau 14 est une liste alphabétique des attributs utilisés par l adaptateur de la base de données Oracle. Elle inclut une brève description et le type de données associé à la valeur des attributs. Tableau 14. Attributs, descriptions et types de données. Attributs du serveur d annuaire Description Type de données eroracleauthenticationtype Indique comment l utilisateur est authentifié par la base de données Oracle. Il existe trois méthodes d authentification : LOCAL L authentification de l utilisateur est effectuée par les bases de données Oracle locales. EXTERNAL L authentification de l utilisateur est effectuée par le système d exploitation. GLOBAL L authentification de l utilisateur est effectuée par le réseau. eroracleexpirepwd Indique la date d expiration du mot de passe. S il est défini sur True, le mot de passe du compte expira immédiatement. eroracleglobalname Indique le nom externe si l authentification est définie sur GLOBAL Chaîne Booléen Chaîne erpassword Indique le mot de passe de l utilisateur Binaire eroracleprofile Indique le nom du profil de l utilisateur Chaîne Copyright IBM Corp. 2003,

76 Tableau 14. Attributs, descriptions et types de données. (suite) Attributs du serveur d annuaire Description Type de données eroracletblspcquota Indique la quantité d espace allouée à l utilisateur dans l espace table xm sur <tablespace name> xk sur <tablespace name> x sur <tablespace name> UNLIMITED sur <tablespace name> x représente une valeur numérique > 0 M indique des mégaoctets K indique des kilooctets UNLIMITED indique qu il n y a pas de limite Chaîne Tout nom d espace table valide dans la base de données Oracle. eroraclerole Indique le rôle affecté à l utilisateur Tout rôle valide défini dans la base de données Oracle. eroracleservicename Indique le nom de service Oracle défini par la configuration réseau client d Oracle. L adaptateur utilise cette valeur pour se connecter à la base de données Oracle. eroraclesyspriv Indique si un utilisateur dispose des droits suffisants pour effectuer une opération de base de données particulière ou des opérations de classes de bases de données. Tout privilège système défini dans la base de données Oracle. eroracledefaulttablespace Indique le nom par défaut de l espace table alloué à l utilisateur. eroracletemporarytablespace Indique le nom de l espace table temporaire alloué à l utilisateur. eruid Indique l ID utilisateur Chaîne Chaîne Chaîne Chaîne Chaîne Chaîne L ID utilisateur doit être créé en fonction des règles décrites dans Oracle SQL Reference. Attributs par actions de l adaptateur de la base de données Oracle Les listes ci-après répertorient les actions les plus courantes de l adaptateur de la base de données Oracle avec leur groupe de transactions fonctionnel. Ces listes incluent des informations complémentaires sur les attributs obligatoires et facultatifs envoyés à l adaptateur de la base de données Oracle pour exécuter l action. 60 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

77 Database Login Add La fonction System Login Add est une demande de création d un nouveau compte utilisateur dans le domaine avec les attributs indiqués. Tableau 15. Attributs de la requête d ajout (Add) Attribut obligatoire Attribut facultatif eruid eroracleauthenticationtype eroracleservicename eroracleexpirepwd eroracleglobalname erpassword eroracleprofile eroracletblspcquota eroraclerole eroraclesyspriv eroracledefaulttablespace eroracletemporarytablespace Database Login Change La fonction System Login Change est une demande de modification d un ou plusieurs attributs pour les utilisateurs spécifiés. Tableau 16. Attributs de la requête de modification (Change) Attribut obligatoire Attribut facultatif eruid eroracleauthenticationtype eroracleservicename eroracleexpirepwd eroracleglobalname erpassword eroracleprofile eroracletblspcquota eroraclerole eroraclesyspriv eroracledefaulttablespace eroracletemporarytablespace Database Login Delete La fonction System Login Delete est une demande de suppression de l utilisateur spécifié dans Active Directory. Annexe A. Attributs de l adaptateur 61

78 Tableau 17. Attributs de la requête de suppression (Delete) Attribut obligatoire Attribut facultatif eruid Aucun eroracleservicename Database Login Suspend La fonction System Login Suspend est une demande de désactivation d un compte utilisateur. L utilisateur n est pas supprimé et ses attributs ne sont pas modifiés. Tableau 18. Attributs de la requête de suspension (Suspend) Attribut obligatoire Attribut facultatif eruid eroracleservicename eraccountstatus Aucun Database Login Restore La fonction System Login Restore est une demande d activation d un compte utilisateur précédemment suspendu. Lorsque le compte a été réactivé, l utilisateur peut accéder au système avec les mêmes attributs que ceux utilisés avant l appel de la fonction Suspend. Tableau 19. Attributs de la requête de restauration (Restore) Attribut obligatoire Attribut facultatif eruid eroracleservicename eraccountstatus Aucun Reconciliation La fonction Reconciliation synchronise les informations d un compte utilisateur entre Tivoli Identity Manager et l adaptateur. Tableau 20. Attributs de la requête Reconciliation Attribut obligatoire Attribut facultatif eroracleservicename Aucun 62 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

79 Annexe B. Informations relatives au support La présente section décrit les différents moyens par lesquels vous pouvez obtenir de l aide pour vos produits IBM : v «Recherche dans les bases de connaissances» v «Obtention de correctifs», à la page 64 v «Accès au service de support logiciel IBM», à la page 64 Recherche dans les bases de connaissances Les problèmes que vous pouvez rencontrer avec vos logiciels IBM doivent être résolus rapidement. Pour cela, commencez par effectuer une recherche dans les bases de connaissances disponibles afin de déterminer si une solution a déjà été apportée à votre problème. Recherche dans le centre de documentation sur le système local ou le réseau IBM met à votre disposition une grande diversité de ressources documentaires, que vous pouvez installer sur votre ordinateur local ou bien sur un serveur intranet. Vous pouvez recourir à la fonction de recherche de ce centre de documentation pour trouver des données conceptuelles, des instructions concernant la réalisation des tâches, des références et d autres documents de support. Recherche sur Internet Si vous ne réussissez pas à obtenir une réponse à votre problème dans le centre de documentation, faites appel à Internet. Vous y trouverez des informations exhaustives et récentes qui pourront vous aider à résoudre vos difficultés. Pour localiser les ressources Internet adéquates pour votre produit, consultez l un des sites Web indiqués ci-dessous. v IBM Tivoli Identity Manager Performance Tuning Guide Contient les informations nécessaires pour régler le serveur Tivoli Identity Manager pour un environnement de production. Ce manuel est disponible sur Internet à l adresse ci-après : Cliquez sur la lettre I dans la liste A-Z des produits, puis sur le lien Tivoli Identity Manager. Recherchez, dans le centre de documentation, la section correspondant aux suppléments techniques. v Vous trouverez des Redbooks et livres blancs sur le site Web suivant : IBMTivoliIdentityManager.html Dans la section Self help, recherchez la catégorie Learn et cliquez sur le lien Redbooks. v Des notes techniques sont disponibles à l adresse : v Des guides pratiques (Field guides) sont fournis à l adresse suivante : Copyright IBM Corp. 2003,

80 Obtention de correctifs v Pour obtenir une liste plus complète des autres ressources Tivoli Identity Manager, effectuez une recherche parmi les travaux des développeurs IBM disponibles à l adresse suivante : Un correctif de produit peut constituer le meilleur moyen de résoudre votre problème. Vous pouvez vérifier si des correctifs sont disponibles pour votre logiciel IBM sur le site Web de support pour les produits : 1. Accédez au site Web du service de support logiciel IBM ( 2. Sous Product support pages A to Z, cliquez sur la lettre correspondant à l initiale du nom de votre produit. 3. Dans la liste de produits qui apparaît, choisissez IBM Tivoli Identity Manager. 4. La section Self help répertorie les correctifs, groupes de correctifs et autres mises à jour de service pour votre produit. 5. Pour afficher la description d un correctif et éventuellement le télécharger, cliquez sur son nom. Pour recevoir par des notifications hebdomadaires concernant les correctifs, de même que l actualité des produits IBM, procédez comme suit : 1. Dans la page de support de n importe quel produit IBM, cliquez sur le lien My Support, situé dans la partie gauche. 2. Si vous êtes déjà inscrit, passez à l étape suivante. Dans le cas contraire, cliquez sur Register dans le coin supérieur droit de la page de support afin de créer votre ID utilisateur et votre mot de passe. 3. Connectez-vous à My support. 4. Dans le panneau de navigation gauche de la page du même nom, cliquez sur Edit profiles, puis recherchez Select Mail Preferences. Sélectionnez une famille de produits et cochez les cases appropriées pour le type d informations souhaité. 5. Cliquez sur Submit. 6. Pour recevoir des notifications par pour d autres produits, répétez les opérations 4 et 5. Pour plus d informations sur les types de correctifs, reportez-vous au manuel du centre de support (Software Support Handbook), disponible à l adresse Accès au service de support logiciel IBM Le service de support logiciel IBM vous fournit une assistance en ce qui concerne les incidents liés aux produits. Pour que vous puissiez y faire appel, votre entreprise doit avoir signé un contrat de maintenance logicielle IBM, toujours en vigueur, et vous-même devez être habilité à soumettre des problèmes à IBM. Le type de contrat de maintenance logicielle dont vous avez besoin dépend du type de produit dont vous disposez : v Pour les logiciels distribués par IBM (notamment, mais sans limitation, les produits Tivoli, Lotus et Rational, ainsi que les produits DB2 et WebSphere exécutés sur les systèmes d exploitation Windows et UNIX), inscrivez-vous au service Passport Advantage ; pour ce faire, deux méthodes sont possibles : 64 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

81 En ligne : accédez à la page Web de Passport Advantage ( Passport_Advantage_Home) et cliquez sur S enregistrer. Par téléphone : pour connaître le numéro de téléphone à composer pour votre pays, rendez-vous sur le site Web du service de support logiciel IBM ( et cliquez sur l intitulé correspondant à votre zone géographique. v Pour les logiciels IBM eserver (en particulier, mais de manière non exhaustive, les produits DB2 et WebSphere fonctionnant dans des environnements zseries, pseries et iseries), il vous est possible d acquérir les services d un représentant commercial IBM ou d un partenaire commercial IBM en concluant avec ce dernier un contrat de maintenance logicielle. Pour plus d informations sur le support applicable aux logiciels eserver, accédez à la page Web Technical support advantage d IBM ( Si vous hésitez quant au type de contrat de maintenance qui vous conviendra le mieux, composez le IBMSERV ( ) aux Etats-Unis ou, pour les autres pays, accédez à la page des contacts du manuel du centre de support IBM (IBM Software Support Handbook) ( et cliquez sur l intitulé de votre zone géographique afin d obtenir les numéros de téléphone des responsables du support au niveau local. Avant de contacter le service de support logiciel IBM, suivez la procédure ci-après : 1. Evaluez l impact commercial de votre problème. 2. Décrivez celui-ci et tentez d identifier son origine. 3. Vous pouvez alors soumettre votre problème au service de support logiciel IBM. Evaluation de l impact commercial de votre problème Lorsque vous signalez un problème à IBM, il vous est demandé d indiquer un niveau de gravité. Par conséquent, il est indispensable que vous compreniez et puissiez évaluer l impact commercial du problème dont vous lui faites part. Les critères à respecter sont les suivants : Gravité 1 Impact commercial très important : vous ne pouvez plus utiliser le programme, ce qui implique des conséquences fâcheuses sur les opérations. Cette condition requiert l apport d une solution immédiate. Gravité 2 Impact commercial important : vous pouvez toujours utiliser le programme, mais de façon extrêmement limitée. Gravité 3 Impact commercial peu important : vous pouvez utiliser le programme et seules certaines fonctionnalités non essentielles à la réalisation des opérations ne sont pas disponibles. Gravité 4 Impact commercial minimal : le problème n affecte que dans une moindre mesure les opérations ou celui-ci a pu être contourné sans incidence. Annexe B. Informations relatives au support 65

82 Description de votre problème et tentative d identification de son origine Le moment venu, expliquez votre problème à IBM aussi précisément que possible. Pensez à communiquer aux techniciens du service de support logiciel toutes les informations de base utiles afin qu ils soient en mesure de vous aider à résoudre efficacement votre problème. Pour éviter une perte de temps, préparez à l avance vos réponses aux questions suivantes : v Quelles versions logicielles exécutiez-vous lorsque le problème a eu lieu? v Disposez-vous de journaux, de fichiers de suivi ou de messages qui pourraient servir à diagnostiquer le problème? Il est fort probable que le service de support logiciel IBM vous demande ces renseignements. v Pouvez-vous reproduire le problème? Si tel est le cas, quelle procédure a déclenché celui-ci? v Avez-vous modifié d une manière quelconque le système (en changeant, par exemple, votre matériel, votre système d exploitation, votre logiciel de gestion de réseau, etc.)? v Avez-vous trouvé une solution provisoire au problème? Le cas échéant, soyez prêt à détailler cette solution lorsque vous signalez le problème. Soumission de votre problème au service de support logiciel IBM Vous pouvez faire part de votre problème de deux façons : v En ligne : sur le site du service de support logiciel IBM, accédez à la page Submit/track problems ( Après avoir choisi l outil de soumission de problème adéquat, saisissez vos informations. v Par téléphone : pour connaître le numéro de téléphone à composer pour votre pays, accédez via Internet à la page des contacts du manuel du centre de support IBM (IBM Software Support Handbook) ( et cliquez sur l intitulé correspondant à votre zone géographique. Si le problème dont vous faites part a trait à un incident lié au logiciel ou à une documentation manquante ou inexacte, le service de support logiciel IBM crée un rapport officiel d analyse de programme (APAR). Ce rapport décrit le problème de manière détaillée. Lorsqu il peut le faire, le service de support logiciel IBM vous indique une solution à mettre en oeuvre en attendant que l APAR ait été examiné et qu une solution ait été fournie. IBM publie les APAR pour lesquels une solution a été trouvée chaque jour sur le site du support pour les produits IBM ; ainsi, les autres utilisateurs rencontrant ce problème peuvent prendre connaissance des solutions proposées. Pour plus d informations sur la résolution des problèmes, consultez les sections Recherche dans les bases de connaissances et Obtention de correctifs. 66 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

83 Annexe C. Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents d annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial IBM. Toute référence à un produit, logiciel ou service IBM n implique pas que seul ce produit, logiciel ou service puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s il n enfreint aucun droit d IBM. Il est de la responsabilité de l utilisateur d évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM. IBM peut détenir des brevets ou des demandes de brevet couvrant les produits décrits dans le présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirez recevoir des informations concernant l acquisition de licences, veuillez en faire la demande par écrit à l adresse suivante : IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY U.S.A. Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l adresse suivante : IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo , Japan Le paragraphe suivant ne s applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales. LE PRESENT DOCUMENT EST LIVRE «EN L ETAT». IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE VALEUR MARCHANDE OU D ADAPTATION A VOS BESOINS. Certaines juridictions n autorisent pas l exclusion des garanties implicites, auquel cas l exclusion ci-dessus ne vous sera pas applicable. Le présent document peut contenir des inexactitudes ou des coquilles. Il est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut modifier sans préavis les produits et logiciels décrits dans ce document. Les références à des sites Web non IBM sont fournies à titre d information uniquement et n impliquent en aucun cas une adhésion aux données qu ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l utilisation de ces sites relève de votre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Copyright IBM Corp. 2003,

84 Les détenteurs de licence souhaitant obtenir des informations permettant : (i) l échange des données entre des logiciels créés de façon indépendante et d autres logiciels (dont celui-ci), et (ii) l utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à : IBM Corporation 2ZA4/ Burnet Road Austin, TX U.S.A. Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d une redevance. Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s y rapportant sont fournis par IBM conformément aux dispositions de l ICA, des Conditions internationales d utilisation des logiciels IBM ou de tout autre accord équivalent. Les données de performance indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l environnement d exploitation utilisé. Certaines mesures évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l intermédiaire d annonces publiques ou via d autres sources disponibles. IBM n a pas testé ces produits et ne peut confirmer l exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits. 68 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

85 Marques Les termes qui suivent sont des marques d International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays : IBM Logo IBM AIX DB2 Novell SecureWay Tivoli Logo Tivoli Universal Database WebSphere Lotus est une marque de Lotus Development Corporation et/ou d IBM Corporation. Domino est une marque d International Business Machines Corporation et de Lotus Development Corporation aux Etats-Unis et/ou dans certains autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. Intel, Intel Inside (logos), MMX et Pentium sont des marques d Intel Corporation aux Etats-Unis et/ou dans certains autres pays. UNIX est une marque déposée de The Open Group aux Etats-Unis et dans certains autres pays. Linux est une marque de Linus Torvalds aux Etats-Unis et/ou dans certains autres pays. Sun, Sun Microsystems et le logo Sun sont des marques de Sun Microsystems, Inc. aux Etats-Unis et dans certains autres pays. Java ainsi que toutes les marques incluant Java sont des marques de Sun Microsystems, Inc. aux Etats-Unis et/ou dans certains autres pays. D autres sociétés sont propriétaires des autres marques, noms de produits ou logos qui pourraient apparaître dans ce document. Annexe C. Remarques 69

86 70 IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

87 Index A accessibilité format pdf, pour logiciels lecteurs d écran ix instructions pour la documentation ix texte pour remplacer les images des documents ix activation/désactivation avec agentcfg 22 adaptateur attributs descriptions 59 par action de l adaptateur 60 étapes de configuration 8 fonctions 1 installation - Généralités 1 mise à niveau 55 mise à niveau d ADK 55 objet du profil 6 procédure de personnalisation 51 suppression 57 adaptateur - Généralités 1 adaptateur Tivoli Identity Manager communication avec le serveur 41, 42 communication SSL 41, 42 agentcfg affichage des paramètres de configuration 12 arguments 27 menus aide 27 configuration du protocole 13 configuration principale 11 journal d activité 22 notification d événements 16 paramètres avancés 25 registre 24 modification des paramètres de l adaptateur clé de configuration 22 paramètres du protocole 13 paramètres du registre 24 traitement des demandes 25 attributs descriptions 59 par action de l adaptateur de la base de données Oracle ajout 61 modification 61 rapprochement 62 restauration 62 suppression 61 suspension 62 authentification client 41 autorité de certification définition 37 B bases de connaissances, recherche de solutions aux problèmes logiciels 63 C centre de documentation pour logiciels Tivoli ix centres de documentation, recherche de solutions aux problèmes logiciels 63 certificat d auto-signature 39 certificats affichage enregistré 49 installés 48 affichage des certificats enregistrés 49 affichage des certificats installés 48 auto-signature 39 CA affichage des certificats installés 48 fonctions disponibles 45 installation 48 suppression 49 clés privées et certificats numériques 38 définition 37 demande 46 enregistré affichage 49 enregistrement 49 suppression 49 enregistrement 45 exemples requête de certificat serveur (CSR) 47 formats de clé 39 installation 47 à partir d un fichier 47 exemple 47 outil de configuration du protocole Voir CertTool outils de gestion des certificats Voir CertTool présentation 37 CertTool authentification client 45 certificat affichage des certificats enregistrés 49 affichage des certificats installés 48 demande 46 enregistrement 45 installation 47 certificat d une autorité de certification suppression 49 certificat de CA affichage 48 installation 48 certificat enregistré affichage 49 enregistrement 49 suppression 49 clé privée, génération 46 installer le certificat 47 modification des paramètres de l adaptateur accès 40, 44 options 44 chemins d accès, syntaxe x Copyright IBM Corp. 2003,

88 chiffrement protocole DAML type 13 valeur par défaut 13 SSL 37, 38 clé privée définition 37 clé privée, génération 46 clé publique 38 conditions préalables à l installation compte de service Oracle 4 connectivité réseau 4 droits d administrateur 4 logiciel Oracle client 3 logiciel Oracle Database 3 serveur Tivoli Identity Manager 4 système 3 système d exploitation 3 configuration clé modification avec agentcfg 22 utilisation 11 valeur par défaut 11, 22 paramètres affichage avec agentcfg 12 modification avec agentcfg 11 valeur par défaut 12 SSL 40 configuration bidirectionnelle SSL client 41 client et serveur 42 configuration minimale requise du serveur Tivoli Identity Manager 4 configuration minimale requise du système d exploitation 3 configuration système minimale requise 3 connectivité réseau 4 contexte attributs de recherche 20 base de données 21 DN cible 21 liste 18 modification 19 suppression 18 conventions répertoire personnel Tivoli_Common_Directory xiii DB_INSTANCE_HOME xi HTTP_HOME xii ITIM_HOME xii LDAP_HOME xi WAS_HOME xii WAS_MQ_HOME xii WAS_NDM_HOME xii typographiques x utilisées dans ce document ix variable UNIX, syntaxe des répertoires x correctifs, obtention 64 CSR définition 46 fichier, génération 46 D DB_INSTANCE_HOME définition xi répertoire d installation DB2 UDB xi demande de signature de certificat (CSR) 47 désinstallation 57 documents bibliothèque Tivoli Identity Manager v connexes viii droits d administrateur 4 F fichier ADK46Installer.log 56 fichier ADK46Installeropt.log 56 fichier PKCS12 exporter le certificat et la clé 50 installation du certificat et de la clé 47 fichier protégé par un mot de passe Voir fichier PKCS12 fichier trace.log 7 format pdf, pour logiciels lecteurs d écran ix H handicaps, utilisation de la documentation ix HTTP_HOME définition xii répertoire d installation IBM HTTP Server xii I identification des incidents description du problème à l intention du service de support logiciel IBM 66 évaluation de l impact commercial à l intention du service de support logiciel IBM 65 soumission du problème au service de support logiciel IBM 66 implémentations SSL, protocole DAML 40 importer fichier PKCS12 40 profil de l adaptateur 6, 52 installation certificat 47 désinstallation 57 profil 6 répertoire DB2 UDB xi IBM Directory Server xi IBM HTTP Server xii produit WebSphere Application Server Base xii produit WebSphere Application Server Network Deployment xii Sun ONE Directory Server xi WebSphere MQ xii Internet, recherche de solutions aux problèmes logiciels 63, 64 ITIM_HOME définition xii répertoire xii J jeux de caractères, pris en charge 25 jeux de caractères européens occidentaux, support 25 journal d activité 22 journal de débogage activation/désactivation avec agentcfg IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

89 journal de débogage (suite) utilisation 23 valeur par défaut 22 journal détaillé activation/désactivation avec agentcfg 22 utilisation 23 valeur par défaut 22 journaux activation/désactivation, modification avec agentcfg 23 affichage avec agentcfg 28 affichage d événements 12 affichage des statistiques 26 débogage 22 détails 22 fichier ADK46Installer.log 56 fichier ADK46Installeropt.log 56 fichier trace.log 7 nom de fichier, modification avec agentcfg 22 paramètres, modification avec adaptercfg 23 paramètres, modification avec agentcfg no du fichier journal 23 taille maximale du fichier 23 paramètres, valeurs par défaut 22 paramètres d activité, modification 12 répertoire, modification avec agentcfg 23 statistiques 26 L LDAP_HOME définition xi répertoire d installation IBM Directory Server xi répertoire d installation Sun ONE Directory Server xi M manuels voir publications ix menu d aide de l outil agentcfg 27 accès avec la commande -help 27 mise à jour profil de l adaptateur 51 mise à niveau adaptateur 55 ADK 55 profil de l adaptateur 6 mots de passe clé de configuration, valeur par défaut 11, 22 modification de la clé de configuration 22 mots de passe, modification avec agentcfg protocole DAML 14 N nom d utilisateur, modification avec agentcfg 14 notification d événements activation/désactivation 17 contexte attributs de recherche 20 base de données 21 DN cible 21 liste 18 modification 19 suppression 18 lancement manuel 18 modification avec agentcfg 16 notification d événements (suite) rapprochement attributs 18 contexte 18 intervalles 17 modification 18 priorité du processus 18 taille du cache 17 numéro de port modification avec agentcfg 13 numéro de port, modification avec agentcfg 14 O outil de configuration de l adaptateur Voir agentcfg ouvrages voir publications ix P paramètres définissant le nombre d unités d exécution demande system login add 25 demandes de rapprochement 25 demandes system login change 25 demandes system login delete 25 modification avec agentcfg 25 nombre maximal de demandes simultanées 25 valeurs par défaut 25 paramètres du registre chiffré 24 non chiffrés 24 paramètres du registre chiffrés 24 paramètres du registre non chiffrés 24 propriétés, modification avec agentcfg 13 protocole DAML configuration avec agentcfg 13 propriétés, modification avec agentcfg 13 type de chiffrement 13 valeur par défaut de chiffrement 13 SSL configuration bidirectionnelle 41, 42 configuration serveur-adaptateur 40 présentation 37 protocole DAML authentification SSL 40 chiffrement type 13 valeur par défaut 13 configuration avec agentcfg 13 options 13 propriétés, modification avec agentcfg mot de passe 14 nom d utilisateur 14 numéro de port 14 options 13 require_cert_reg 15 srv_nodename 14 srv_portnumber 15 validate_client_ce 15 publications accès en ligne ix bibliothèque Tivoli Identity Manager v connexes viii Index 73

90 publications en ligne accès ix R rapprochement attributs 18, 62 contexte 18 intervalles 17 modification 18 priorité du processus 18 répertoire DB_INSTANCE_HOME xi HTTP_HOME xii installation DB2 UDB xi IBM Directory Server xi IBM HTTP Server xii produit WebSphere Application Server Base xii produit WebSphere Application Server Network Deployment xii WebSphere MQ xii installation Sun ONE Directory Server xi ITIM_HOME xii LDAP_HOME xi noms, syntaxe UNIX x WAS_HOME xii WAS_MQ_HOME xii WAS_NDM_HOME xii répertoires personnels DB_INSTANCE_HOME xi HTTP_HOME xii ITIM_HOME xii LDAP_HOME xi WAS_HOME xii WAS_MQ_HOME xii WAS_NDM_HOME xii require_cert_reg, modification avec agentcfg 15 restauration de comptes exigences liées aux mots de passe 52 SSL (suite) requête de certificat serveur 46 support UTF8 25 T texte pour remplacer les images des documents ix Tivoli_Common_Directory définition xiii typographiques, conventions x V validate_client_ce, modification avec agentcfg 15 validation client, SSL 42 variable d environnement syntaxe UNIX x W WAS_HOME définition xii répertoire d installation WebSphere Application Server Base xii WAS_MQ_HOME définition xii répertoire d installation WebSphere MQ xii WAS_NDM_HOME définition xii répertoire d installation WebSphere Application Server Network Deployment xii S serveur Tivoli Identity Manager communication avec l adaptateur 40 communication SSL 40 configuration de la notification des événements 16 importation du profil de l adaptateur 6 service clients Tivoli voir service de support logiciel 64 service de support logiciel accès 64 description du problème à son intention 66 évaluation de l impact commercial à son intention 65 soumission du problème 66 srv_nodename, modification avec agentcfg 14 srv_portnumber, modification avec agentcfg 15 SSL certificats d auto-signature 39 chiffrement 37 clés privées et certificats numériques 38 configuration bidirectionnelle 41, 42 configuration serveur-adaptateur 40 formats de clé 39 installation des certificats 37 présentation IBM TIM - Adaptateur de la base de données Oracle pour Windows - Guide d installation et de configuration

91

92 SC