Single Sign-on mit LTPA zwischen zwei Servern konfigurieren

Eine Umgebung mit Single Sign-on kann zwischen zwei Computern, auf denen IBM® WebSphere Application Server ausgeführt wird, eingerichtet werden. Die Benutzer können sich dann bei einer Anwendung unter WebSphere Application Server auf einem Computer anmelden und auf eine Anwendung zugreifen, die unter WebSphere Application Server auf einem zweiten Computer ausgeführt wird, ohne sich beim zweiten Computer anmelden zu müssen.

Vorbereitende Schritte

Vorgehensweise

  1. Melden Sie sich am ersten Computer an der WebSphere-Administrationskonsole an, indem Sie die folgende URL in einen Web-Browser eingeben: http://vollständig_qualifizierter_Hostname:Portnummer/ibm/console
  2. Aktivieren Sie Single Sign-on und fügen Sie den Domänennamen hinzu:
    1. Wählen Sie Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur > Websicherheit > Single Sign-on (SSO) aus.
    2. Stellen Sie sicher, dass die Kontrollkästchen Aktiviert, Interoperabilitätsmodus und Weitergabe von Sicherheitsattributen für eingehende Webanforderungen ausgewählt sind.
    3. Geben Sie einen Domänennamen ein.
    4. Klicken Sie auf Anwenden.
  3. Ändern Sie die Webauthentifizierungseinstellungen für nicht sichere Seiten, um Authentifizierungsdaten zu empfangen:
    1. Wählen Sie Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur > Websicherheit > Allgemeine Einstellungen aus.
    2. Wählen Sie das Kontrollkästchen Verfügbare Authentifizierungsdaten beim Zugriff auf einen ungeschützten URI verwenden aus.
    3. Klicken Sie auf Anwenden.
  4. Aktivieren Sie Single Sign-on, indem Sie veranlassen, dass beide WebSphere Application Server-Server ihre LTPA-Schlüssel (LTPA = Lightweight Third Party Authentication) austauschen:
    1. Wählen Sie Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur > Authentifizierungsverfahren und Verfallszeit > Zellenübergreifendes Single Sign-on aus.
    2. Geben Sie Ihr Kennwort und den Namen der Datei für den Schlüsselexport ein und klicken Sie anschließend auf Schlüssel exportieren.
  5. Importieren Sie die Schlüssel auf dem zweiten Computer:
    1. Kopieren Sie die Schlüsseldatei auf den zweiten Computer.
    2. Melden Sie sich auf dem zweiten Computer an der WebSphere-Administrationskonsole an.
    3. Wählen Sie Sicherheit > Sichere Verwaltung, Anwendungen und Infrastruktur > Authentifizierungsverfahren und Verfallszeit > Zellenübergreifendes Single Sign-on aus.
    4. Verwenden Sie das auf dem ersten Computer eingegebene Kennwort und geben Sie den Namen der Datei ein, die auf den zweiten Computer kopiert wurde. Klicken Sie auf Schlüssel importieren.
    5. Speichern Sie die Konfiguration.
  6. Wiederholen Sie die Schritte 1 bis 5 auf dem zweiten Computer, um die Einstellungen für Single Sign-on und Websicherheit zu ändern, die Schlüssel aus dem zweiten Computer zu exportieren und die Schlüssel auf dem ersten Computer zu importieren.
  7. Speichern Sie die Konfiguration auf beiden Servern und starten Sie die Server erneut.
  8. Geben Sie auf dem ersten Computer die folgende URL in einen Web-Browser ein: http://computer1.example.com:9080/ram
    Wichtig: Verwenden Sie anstelle des Hostnamens nicht localhost, keinen kurzen Hostnamen und auch nicht die IP-Adresse. Bei Single Sign-on muss der Browser LTPA-Cookies an den WebSphere Application Server-Server übergeben und diese Cookies enthalten den vollständig qualifizierten Hostnamen.
  9. Melden Sie sich beim Rational Asset Manager-Web-Client an.
  10. Geben Sie in derselben Browsersitzung die URL zum Web-Client auf dem zweiten Computer ein: http://computer2.example.com:9080/ram
  11. Wenn Single Sign-on ordnungsgemäß konfiguriert wurde, müssen Sie sich nicht am zweiten Computer anmelden. Stattdessen wird der Benutzername auf der Homepage angezeigt.

IP-Adressen zu Hostdateien hinzufügen

Wenn Sie zwei Computer mit dynamischen IP-Adressen verwenden, müssen Sie möglicherweise Einträge in der Hostdatei auf jedem Computer hinzufügen. Immer wenn sich die IP-Adressen der Computer ändern, müssen Sie die Hostdateien aktualisieren und die Server erneut starten.

  1. Öffnen Sie auf dem ersten Computer die Hostdatei C:\WINDOWS\system32\drivers\etc\hosts.
  2. Geben Sie in einer neuen Zeile die IP-Adresse des ersten Computers ein, z. B.
    127.0.0.1 computer1.example.com
  3. Geben Sie in einer neuen Zeile die IP-Adresse des zweiten Computers ein, z. B.
    computer2.example.com
  4. Speichern Sie die Datei.
  5. Öffnen Sie auf dem zweiten Computer die Hostdatei C:\WINDOWS\system32\drivers\etc\hosts.
  6. Geben Sie in einer neuen Zeile den folgenden Text ein:
    127.0.0.1 computer2.example.com
  7. Geben Sie in einer weiteren neuen Zeile den folgenden Text ein:
    IP-Adresse des ersten Computers computer1.example.com
  8. Speichern Sie die Datei.

Feedback