Partie III : Configuration après le déploiement
Cette section du guide décrit les opérations de configuration complémentaires nécessaires après le déploiement des produits LiveCycle sur le serveur d'applications et l'initialisation de la base de données
LiveCycle.
85
10
Configuration des produits LiveCycle pour accéder
à LDAP
Ce chapitre décrit la configuration des produits LiveCycle avec LDAP ou LDAP via SSL (LDAPS).
O
« Configuration des produits LiveCycle avec LDAP », page 86
O
« Configuration des produits LiveCycle avec LDAPS », page 87
Attention :
si vous installez et déployez plusieurs produits LiveCycle, vous devez consulter le guide
Installation et configuration approprié pour obtenir les paramètres SSL et de sécurité spécifiques à chaque produit LiveCycle installé.
Configuration des produits LiveCycle avec LDAP
Appliquez la procédure suivante lors de la configuration de User Management pour la prise en charge de l'authentification via LDAP.
³
Pour configurer User Management avec LDAP :
1. Ouvrez un navigateur Web, accédez au site http://
[nomhôte]:[port]
/adminui
et connectez-vous.
Reportez-vous à la section « Accès à Administrator », page 55 .
2. Sélectionnez Paramètres > User Management > Gestion des domaines et cliquez sur Nouveau
domaine.
3. Dans le champ ID, saisissez un identifiant de domaine unique.
4. Entrez le nom du domaine dans la zone Nom.
5. Cliquez sur Ajouter une authentification, puis sélectionnez LDAP dans la liste Fournisseur d'authentification.
Remarque :
il est déconseillé d'utiliser JAAS avec User Management dans LiveCycle 7.2.
6. Cliquez sur OK.
7. Cliquez sur Ajouter un annuaire.
8. Sous Remplir la page avec, sélectionnez une option de configuration d'annuaire comme Valeurs Sun
ONE par défaut.
9. Renseignez au besoin les zones Serveur, Port, SSL et Liaison. Pour plus de détails sur les paramètres, consultez la rubrique sur les options d'annuaire dans l'aide en ligne.
10. Configurez les Options utilisateur et les Options du groupe requises. Pour plus de détails sur les paramètres, consultez la rubrique sur les options d'annuaire dans l'aide en ligne.
11. (Facultatif ) Testez la configuration :
O
Cliquez sur Test.
O
Dans le champ Rechercher du volet Tester l'annuaire, saisissez un nom d'objet, puis dans le champ
avec, sélectionnez le type d'objet, comme ID de connexion.
86
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebLogic
Configuration des produits LiveCycle pour accéder à LDAP
Configuration des produits LiveCycle avec LDAPS 87
O
Cliquez sur Test. Si le résultat est positif, les détails de votre objet s'affichent. Cliquez ensuite sur
Précédent.
12. Cliquez sur OK pour fermer la page Ajouter un annuaire, puis de nouveau sur OK pour quitter.
Configuration des produits LiveCycle avec LDAPS
Appliquez la procédure suivante lors de la configuration de User Management pour la prise en charge de l'authentification via LDAPS.
³
Pour configurer User Management avec LDAPS :
1. Activez SSL sur le serveur d'annuaire. Pour plus d'informations, consultez la documentation fournie avec l'annuaire.
2. Exportez un certificat client depuis le serveur d'annuaire.
3. Utilisez le programme keytool pour importer le fichier du certificat client dans le magasin de certificats de la JVM par défaut. La procédure peut varier selon la version de JMV installée et les chemins d'installation du client. Par exemple, si vous utilisez JDK 1.4.2, tapez le code suivant lorsque l'invite s'affiche : keytool -import -file client_certificate -alias myalias -keystore
BEA_HOME/jdk142_08/jre/lib/security/cacerts
Spécifiez votre mot de passe (pour Java, le mot de passe par défaut est « changeit
») lorsqu'il vous est demandé. Une fois le certificat importé, un message vous est envoyé confirmant la réussite de l'opération.
4. Activez SSL dans User Management. Pour accéder aux paramètres de User Management, sélectionnez
Paramètres > User Management dans les pages d'Administrator. Lorsque vous configurez les options d'annuaire, sélectionnez Oui pour la propriété SSL et modifiez la propriété Port en conséquence. Le numéro de port par défaut est 636.
Dépannage
Si vous rencontrez un problème lors de l'utilisation du protocole SSL, utilisez un navigateur LDAP pour vérifier si le système LDAP est accessible lorsque vous utilisez le protocole SSL. Si le navigateur LDAP ne peut pas accéder au système LDAP, le problème concerne la configuration de votre certificat et du serveur d'applications. Si le navigateur LDAP peut accéder au système LDAP, cela signifie que User Management n'est pas configuré correctement.
11
Configuration de SSL sur WebLogic
Ce chapitre décrit la procédure de création d'informations d'identification et de configuration SSL sur le serveur d'applications afin d'accroître la sécurité de la communication avec le serveur d'applications.
Remarque :
il est conseillé de terminer la procédure d'installation, de configuration et de déploiement des produits LiveCycle et de vérifier qu'ils s'exécutent correctement avant de configurer SSL sur le serveur d'applications.
Il est important de vérifier que les paramètres de sécurité configurés sur le serveur d'applications et dans le fichier LiveCycle.ear sont homogènes.
Attention :
si vous installez et déployez plusieurs produits LiveCycle, vous devez consulter le guide
Installation et configuration approprié pour obtenir les paramètres SSL et de sécurité spécifiques à chaque produit LiveCycle installé.
Si vous n'avez pas encore activé le protocole SSL sur le module Data Manager (assemblé en tant que partie du fichier LiveCycle.ear), exécutez Configuration Manager pour reconfigurer et réassembler les produits en activant SSL, puis redéployez le fichier LiveCycle.ear. Le mot de passe SSL que vous spécifiez dans
Configuration Manager doit correspondre à celui que vous saisissez lors de la configuration de SSL sur le
serveur d'applications. Reportez-vous à la section « Configuration des produits LiveCycle à déployer », page 65 .
Pour configurer SSL sur le serveur d'applications, vous devez effectuer les tâches suivantes :
O
« Création d'informations d'identification SSL », page 88
O
« Configuration de SSL sur WebLogic », page 91
Création d'informations d'identification SSL
Pour configurer SSL sur WebLogic, vous avez besoin d'informations d'identification SSL à des fins d'authentification. Vous pouvez utiliser l'outil IBM de gestion des clés installé avec l'outil de génération de clés Java pour exécuter les tâches suivantes dans le but de créer des informations d'identification :
O
O
Créez une paire de clé publique/privée, conservez la clé publique dans un certificat auto-signé X.509 v1 enregistré en tant que chaîne de certificats à un seul élément, puis enregistrez la chaîne de certificats et la clé privée dans un nouveau fichier de stockage de clés. Il s'agit du fichier de stockage de clés d'identité personnalisée du serveur d'applications.
Extrayez le certificat et insérez-le dans un nouveau fichier de stockage de clés. Il s'agit du fichier de stockage de clés d'approbation personnalisée du serveur d'applications.
La commande keytool se situe généralement dans le répertoire Java jre/bin et doit comprendre plusieurs options et valeurs d'option, répertoriées dans le tableau suivant.
88
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebLogic
Configuration de SSL sur WebLogic
Création d'informations d'identification SSL 89
Option de génération des clés
-alias
Description Valeur de l'option
Alias du fichier de stockage des clés.
O
O
Fichier de stockage de clés d'identité personnalisée : ads-credentials
Fichier de stockage de clés d'approbation personnalisée : bedrock
-keyalg
-keystore
-file
-validity
-storepass
Algorithme utilisé pour générer la paire de clés.
RSA
Vous pouvez utiliser un autre algorithme, en fonction de la stratégie de votre entreprise.
L'emplacement et le nom du fichier de stockage de clés.
O
L'emplacement peut comprendre le chemin d'accès absolu au fichier ou dépendre du répertoire courant de l'invite de commande dans laquelle la commande keytool a été saisie.
O
Fichier de stockage de clés d'identité personnalisée :
[domaine du serveur
d'applications]/adobe/[nom
serveur]/ads-ssl.jks
Fichier de stockage de clés d'approbation personnalisée :
[domaine du serveur
d'applications]/adobe/[nom
serveur]/ads-ca.jks
L'emplacement et le nom du fichier de certificats.
Nombre de jours pendant lesquels le certificat est considéré comme valide.
ads-ca.cer
3650
Vous pouvez utiliser une autre valeur, en fonction de la stratégie de votre entreprise.
Mot de passe protégeant le contenu du fichier de stockage de clés.
Fichier de stockage de clés d'identité personnalisée : le mot de passe du fichier de stockage de clés doit correspondre au mot de passe d'identification SSL spécifié pour le module Data
Manager à l'aide de Configuration Manager.
Fichier de stockage de clés d'approbation personnalisée : appliquez le mot de passe utilisé pour le fichier de stockage des clés d'identité personnalisé.
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebLogic
Configuration de SSL sur WebLogic
Création d'informations d'identification SSL 90
Option de génération des clés
-keypass
-dname
Description
Nom identifiant la personne possédant le fichier de stockage de clés.
Valeur de l'option
Mot de passe protégeant la clé privée de la paire de clés.
Appliquez le mot de passe utilisé pour l'option
-storepass
. Le mot de passe de clé doit comprendre au moins 6 caractères.
"CN=[User name],OU=[Group Name],
O=[Company Name], L=[City Name],
S=[State or province], C=[Country
Code]"
O
O
O
O
O
O
[User name]
correspond à l'identifiant de l'utilisateur possédant le fichier de stockage de clés.
[Group Name]
correspond au groupe de l'entreprise auquel le propriétaire du fichier de stockage de clés appartient.
[Company Name]
correspond au nom de l'entreprise.
[City Name]
correspond à la ville dans laquelle votre entreprise est implantée.
[State or province]
correspond à la région dans laquelle votre entreprise est implantée.
[Country Code]
correspond au code à deux chiffres propre au pays dans lequel votre entreprise est implantée.
Pour plus de détails sur l'utilisation de la commande keytool, consultez le fichier keytool.html inclus dans votre documentation JDK.
³
Pour créer les fichiers de stockage de clés d'identité et d'approbation personnalisées :
1. Ouvrez une invite de commande et recherchez [racine du serveur d'applications]/adobe/[nom serveur].
2. Entrez la commande suivante :
[JAVA_HOME]/bin/keytool -genkey -v -alias ads-credentials -keyalg RSA
-keystore "ads-credentials.jks" -validity 3650 -storepass store_password
-keypass key_password -dname "CN=User ID, OU=Group Name, O=Company Name,
L=City Name, S=State,C=Country Code"
Remarque :
vous devez remplacer
[JAVA_HOME]
par le répertoire dans lequel JDK est installé, puis remplacer le texte en gras par les valeurs correspondant à votre environnement.
Le fichier de stockage de clés est créé dans le répertoire [domaine du serveur
d'applications]/adobe/[nom serveur].
3. Extrayez le certificat du fichier ads-credentials en tapant la commande suivante :
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebLogic
Configuration de SSL sur WebLogic
Configuration de SSL sur WebLogic 91
[JAVA_HOME]/bin/keytool -export -v -alias ads-credentials
-file "ads-ca.cer" -keystore "ads-credentials.jks"
-storepass store_password
Remarque :
vous devez remplacer
[JAVA_HOME]
par le répertoire dans lequel le JDK est installé, puis remplacer
store_password
par le mot de passe du fichier de stockage de clés d'identité personnalisée.
Le fichier de certificats est créé dans le répertoire [domaine du serveur d'applications]/adobe/[nom
serveur].
4. Copiez le fichier ads-ca.cer sur tous les ordinateurs hôtes nécessitant d'établir des communications sécurisées avec le serveur d'applications.
5. Insérez le certificat dans un nouveau fichier de stockage de clés (le fichier de stockage de clés d'approbation personnalisée) à l'aide de la commande suivante :
[JAVA_HOME]/bin/keytool -import -v -noprompt -alias bedrock
-file "ads-ca.cer" -keystore "ads-ca.jks" -storepass store_password
-keypass key_password
Remarque :
vous devez remplacer
[JAVA_HOME]
par le répertoire dans lequel le JDK est installé, puis remplacer
store_password
et
key_password
par vos propres mots de passe.
Le fichier de stockage de clés est créé dans le répertoire [domaine du serveur
d'applications]/adobe/[serveur].
Configuration de SSL sur WebLogic
Vous devez configurer WebLogic pour qu'il utilise les fichiers de stockage de clés d'identité et d'approbation personnalisées que vous avez créés. Vous devez également désactiver la fonction de vérification du nom d'hôte de WebLogic car l'identifiant utilisé pour créer les fichiers de stockage de clés ne comprend pas le nom de l'ordinateur hébergeant WebLogic.
³
Pour configurer WebLogic pour l'utilisation de SSL :
1. Ouvrez la console d'administration du serveur WebLogic en saisissant http://
[nom hôte]
:7001/console
dans la ligne d'adresse d'un navigateur Web.
2. Dans l‘arborescence, sélectionnez Servers > [server] > Configuration > General.
3. Vérifiez que les options Listen Port Enabled et SSL Listen Port Enabled sont sélectionnées.
4. Si le serveur est un serveur géré, indiquez un numéro de port non utilisé dans les champs Listen Port et SSL Listen Port (par exemple, 8001 et 8002). Sur un serveur autonome, la valeur du port SSL par défaut est 7002.
5. Cliquez sur Apply dans l'angle inférieur droit.
6. Sélectionnez Configuration > Keystores & SSL.
7. Sur la page Keystore Configuration, cliquez sur Change, sélectionnez Custom Identity And Custom
Trust dans la liste, puis cliquez sur Continue.
8. Sous Custom Identity, spécifiez les valeurs suivantes :
Adobe LiveCycle
Installation et configuration de LiveCycle pour WebLogic
Configuration de SSL sur WebLogic
Configuration de SSL sur WebLogic 92
O
O
O
O
Custom Identity Key Store File Name : [domaine du serveur d'applications]/adobe/[nom
serveur]/ads-credentials.jks, [domaine du serveur d'applications] correspondant au chemin d'accès réel et [nom serveur] au nom du serveur d'applications.
Custom Identity Key Store Type : JKS
Custom Identity Key Store Pass Phrase : mon_mot_de_passe
Confirm Custom Identity Key Store Pass Phrase : mon_mot_de_passe
9. Sous Custom Trust, spécifiez les valeurs suivantes :
O
O
Custom Trust Key Store File Name : [domaine du serveur d'applications]/adobe/[serveur]/ads-ca.jks,
[domaine du serveur d'applications] correspondant au chemin d'accès réel.
Custom Trust Key Store Type : JKS
O
O
Custom Trust Key Store Pass Phrase : mon_mot_de_passe
Confirm Custom Trust Key Store Pass Phrase : mon_mot_de_passe
10. Cliquez sur Continue, puis spécifiez les valeurs suivantes :
O
Private Key Alias : ads-credentials
O
O
Passphrase : mon_mot_de_passe
Confirm Passphrase : mon_mot_de_passe
11. Cliquez sur Continue, puis sur Finish.
³
Pour désactiver la fonction de vérification du nom d'hôte :
1. Dans Advanced Options sur la page Keystore & SSL, cliquez sur Show link et attribuez à Hostname
Verification la valeur Aucun.
Si la fonction de vérification du nom d'hôte n'est pas activée, le nom personnalisé doit contenir le nom d'hôte du serveur.
2. Cliquez sur Apply pour enregistrer les modifications.
3. Redémarrez le serveur d'applications.
,
Etape suivante
Si vous installez LiveCycle Workflow Business Activity Monitor, vous pouvez maintenant configurer un serveur d'applications pour héberger BAM Server. (Reportez-vous à la section
« Configuration manuelle de
BAM Server pour WebLogic », page 94 .) Vous pouvez également installer LiveCycle Workflow Designer.
Reportez-vous à la section
« Installation de LiveCycle Workflow Designer », page 111 .
