Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

配置 Tivoli Directory Integrator 服务器

使 JSA 与用户信息源集成,必须在非 JSA 主机上安装和配置 Tivoli Directory Integrator。

JSA 系统无需进行任何配置;但是,您必须访问控制台才能获取QRadarIAM_TDI.zip文件。然后,在单独的主机上安装和配置 Tivoli Directory Integrator 服务器。创建并导入自签名证书。

在 Tivoli Directory Integrator 服务器上抽取 QRadarIAM_TDI.zip 文件时,将自动创建 TDI 目录。TDI 目录包含以下文件:

  • QradarIAM.sh,这是 Linux 的 TDI 启动脚本

  • QradarIAM.bat,这是 Microsoft Windows 的 TDI 启动脚本

  • QradarIAM.xml,这是 TDI xml 脚本,必须存储在与 QradarIAM.properties 文件相同的位置

  • QradarIAM.properties,这是 TDI xml 脚本的属性文件

安装 Tivoli Directory Integrator 时,必须为解决方案目录配置一个名称。此任务要求您访问“解决方案”目录。因此,在任务步骤中, <solution_directory> 是指您为目录指定的名称。

以下参数用于创建和导入证书:

表 1:认证配置参数

参数

描述

<server_ip_address>

定义 Tivoli Directory Integrator 服务器的 IP 地址。

<days_valid>

定义证书的有效天数。

<keystore_file>

定义密钥库文件的名称。

-商店通行证 <password>

定义密钥库的密码。

- 密钥传递 <password>

定义私钥/公钥对的密码。

<alias>

定义导出证书的别名。

<certificate_file>

定义证书的文件名。
  1. 在非 JSA 主机上安装 Tivoli Directory Integrator。有关如何安装和配置 Tivoli Directory Integrator 的更多信息,请参阅 Tivoli Directory Integrator (TDI) 文档。
  2. 使用 SSH,以 root 用户身份登录 JSA 控制台。

    1. 用户名: root

    2. 密码: <password>

  3. QRadarIAM_TDI.zip 文件复制到 Tivoli Directory Integrator 服务器。
  4. 在 Tivoli Directory Integrator 服务器上,抽取解决方案目录中的 QRadarIAM_TDI.zip 文件。
  5. 配置 Tivoli Directory Integrator 服务器以与 JSA 集成。

    1. 打开 Tivoli Directory Integrator <solution_directory>/solution.properties 文件。

    2. 取消对 com.ibm.di.server.autoload 属性的注释。如果此属性已取消注释,请记下该属性的值。

    3. 选择以下选项之一:

      • 将目录更改为 autoload.tdi 目录,缺省情况下,该目录包含 com.ibm.di.server.autoload 属性。

      • <solution_directory> 中创建一个 autoload.tdi 目录来存储 com.ibm.di.server.autoload 属性。

    4. TDI/QRadarIAM.xmlTDI/QRadarIAM.property 文件从 Tivoli Directory Integrator 目录移动到 <solution_directory>/autoload.tdi 目录或您在上一步中创建的目录。

    5. QradarIAM.batQradarIAM.sh 脚本从 Tivoli Directory Integrator 目录移动到要从中启动 Tivoli Directory Integrator 的位置。

  6. 创建自签名证书并将其导入到 Tivoli Directory Integrator 信任库中。

    1. 要生成密钥库和私钥/公钥对,请键入以下命令:

      • keytool -genkey -dname cn=<server_ip_address> -validity <days_valid> -keystore <keystore_file> -storepass <password> - keypass <password>

      • 例如 keytool -genkey -dname cn=192.168.1.1 -validity 365 -keystore server.jks -storepass secret -keypass secret

    2. 要从密钥库导出证书,请键入以下命令:

      • keytool -export -alias <alias> -file <certificate_file> - keystore <keystore_file> - storepass <password>

      • 例如 keytool -export -alias mykey -file server.cert -keystore server.jks -storepass secret

    3. 要将主证书作为自签名 CA 证书导入回密钥库,请键入以下命令:

      • keytool -import -trustcacerts -file <certificate_file> -keystore <keystore_file> -storepass <password> -alias <alias>

      • 例如 keytool -import -trustcacerts -file server.cert -keystore server.jks -storepass secret -alias mytrustedkey

    4. 将证书文件复制到 JSA 控制台上的 /opt/qradar/conf/trusted_certificates

  7. 将 CA 证书导入到 Tivoli Directory Integrator 信任库中。

    1. 要将 CA 证书作为自签名 CA 证书导入密钥库,请键入以下命令:

      • keytool -import -trustcacerts -file <certificate_file> -keystore <keystore_file> -storepass <password> -alias <alias>

      • 例如 keytool -import -trustcacerts -file server.cert -keystore server.jks -storepass secret -alias mytrustedkey

    2. 将 CA 证书文件复制到 JSA 控制台上的 /opt/qradar/conf/trusted_certificates

  8. 编辑 <solution_directory>/solution.properties 文件以取消注释并配置以下属性:

    • javax.net.ssl.trustStore=<keystore_file>

    • {protect}-javax.net.ssl.trustStorePassword=<password>

    • javax.net.ssl.keyStore=<keystore_file>

    • {protect}-javax.net.ssl.keyStorePassword=<password>

    注意:

    默认未修改的密码可能按以下格式显示: {encr}EyHbak。以纯文本形式输入密码。首次启动 Tivoli Directory Integrator 时,密码将进行加密。
  9. 启动 Tivoli Directory Integrator。

相关主题