Wenn sich Administratoren beim Ausweichserver mit Hilfe des Webschnittstellenclient mit Verwaltungsfunktionen anmelden, geben sie eine Benutzer-ID und ein Kennwort an. Der Ausweichserver generiert ein Sicherheits-Token für diese Benutzer-ID, und die Webschnittstelle mit Verwaltungsfunktionen wird jedesmal, wenn sie einen Befehl an den Server ausgibt, anhand dieses Token überprüft. Das Sicherheits-Token wird verschlüsselt und läuft nach einem bestimmten Zeitraum ab. Wenn der Administrator nach der Anmeldung beim Ausweichserver via Hyperlink eine Verbindung zum Webclient für Sichern/Archivieren herstellt, wird das Sicherheits-Token an den Webclient übergeben und für die Authentifizierung der Benutzer-ID verwendet. Da dieses Token dem Benutzer den Zugriff auf den Client erlaubt, bietet der Webclient dem Benutzer die Möglichkeit, diese Informationen mit Hilfe des HTTPS-Protokolls sicher von der Webschnittstelle mit Verwaltungsfunktionen zum Webclient zu übertragen.
Unter HTTPS versteht man einfach das HTTP-Protokoll, das über Secure Socket Layer übertragen wird. Wenn Ihre Administratoren via Hyperlink eine Verbindung zu Clientmaschinen herstellen, um mit dem Webclient zu arbeiten, und Sie das Sicherheits-Token bei der Übertragung über das Netz schützen müssen, sollten Sie den Webclient für SSL konfigurieren, damit das HTTPS-Protokoll verwendet werden kann.
Die folgenden Abschnitte enthalten Informationen, die Ihnen bei der Verwaltung der SSL-Übertragung helfen:
Das Produktinstallationspaket enthält für die Unterstützung von SSL Dienstprogramme, mit denen Zertifikate erstellt und verwaltet werden können. SSL-Übertragung wird nur auf dem Windows NT-Client unterstützt. Sie können das Dienstprogramm MKKFE (Make Key File) verwenden, um Schlüsselpaare aus öffentlichem und privatem Ring und Zertifikatanforderungen zu erstellen, Zertifikatanforderungen in einem Schlüsselring zu empfangen und Schlüssel in einem Schlüsselring zu verwalten. MKKFE fordert zur Eingabe der erforderlichen Informationen auf. Wahlweise können Sie nach der Erstellung einer Zertifikatanforderung die Anforderung an eine Zertifizierungsinstanz (CA) senden, um sie signieren zu lassen.
In diesem Abschnitt werden folgende Tasks für das Definieren der SSL-Übertragung für Ihre Sicherungen beschrieben:
Gehen Sie wie folgt vor, um ein Schlüsselpaar aus öffentlichem und privatem Schlüssel zu erstellen sowie ein Zertifikat anzufordern und es in eine Schlüsselringdatei zu stellen:
Gehen Sie wie folgt vor, um ein Zertifikat anzufordern:
Gehen Sie wie folgt vor, um das Zertifikat in den Schlüsselring zu stellen:
Nachdem das Zertifikat erstellt und in die Schlüsselringdatei gestellt wurde, kopieren Sie die Schlüsselringdatei certkey.kyr in das Clientinstallationsverzeichnis. Bevor Sie den TSM-Clientakzeptor starten, müssen Sie die Option httpsport definieren. Die Option httpsport gibt die TCP/IP-Anschlussadresse an, die von der HTTPS-SSL-Schnittstelle verwendet wird, um mit dem Webclient zu kommunizieren. Weitere Informationen siehe Httpsport.
Definieren Sie die Umgebungsvariable NLSPATH wie folgt:
c:\program files\tivoli\tsm\baclient\%N
Folgen Sie den Anweisungen in Webclientsitzung starten, um den TSM-Clientakzeptor zu starten.
Der Client startet die Initialisierung der SSL-Übertragungsmethode.
Sie können unter Verwendung der SSL-Übertragungsmethode mit einem beliebigen Browser, der Java 1.3.1-fähig ist, auf den Webclient zugreifen, indem Sie folgende URL eingeben:
https://your_machine_name:httpsport_number
Dabei steht your_machine_name für den Hostnamen der Maschine, die den Webclient mit der SSL-Übertragungsmethode ausführt, und httpsport_number steht für die Anschlussnummer, die Sie über die Option httpsport angegeben haben. Weitere Informationen siehe Httpsport.
Auf die Webclient-Workstation kann auch über die Systemverwaltungs-GUI zugegriffen werden.
Wenn Sie das erste Mal die Verbindung zur Clientmaschine herstellen, erhalten Sie Warnungen vom Webbrowser, da das von Ihnen erstellte Zertifikat vom Browser nicht anerkannt wird. Jeder Browser handhabt diese Situation anders. Netscape lässt zu, dass Sie das Zertifikat als Website-Zertifikat empfangen. Das empfangene Zertifikat wird dann mit dem Zertifikat verglichen, das vom Client bei jedem Verbindungsaufbau mit dem Server gesendet wird. Nach Abschluss der Konfiguration erhalten Sie keine Systemanfragen mehr, wenn Sie die Listenpunktmarkierung Immer akzeptieren im Assistenten anklicken. Internet Explorer gibt eine Anfrage an Sie aus, wenn das empfangene Zertifikat nicht anerkannt wird. Sie erhalten diese Nachricht bei jedem Verbindungsaufbau mit dem Client, sofern Sie die Warnung nicht inaktivieren.