Version PDF
Transcription
Version PDF
IBM Tivoli Usage and Accounting Manager Version 7.3 Configuration du produit après l'installation Important Avant d'utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section «Remarques», à la page 53. juin 2011 LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d'être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu'ils y seront annoncés. Pour plus de détails, pour toute demande d'ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v http://www.fr.ibm.com (serveur IBM en France) v http://www.can.ibm.com (serveur IBM au Canada) v http://www.ibm.com (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité 17, avenue de l'Europe 92275 Bois-Colombes Cedex © Copyright IBM France 2011. Tous droits réservés © Copyright IBM Corporation 2006, 2011. Table des matières Avis aux lecteurs canadiens . . . . . . v Configuration de Tivoli Usage and Accounting Manager 7.3 après l'installation . . . . . . . . . . . . . 1 Configuration de la base de données . . . . . . 1 Configuration et connexion à une base de données DB2 for Linux, UNIX et Windows . . . . . . 1 Configuration et connexion à une base de données DB2 for z/OS . . . . . . . . . . . . . 4 Configuration et connexion à une base de données SQL Server . . . . . . . . . . . . . . 7 Configuration et connexion à une base de données Oracle . . . . . . . . . . . . 16 Sauvegarde de la base de données. . . . . . 18 Rôles et privilèges de base de données TUAM. . 18 Démarrage de Console d'administration . . . . . 18 Acceptation du certificat de sécurité . . . . . . 19 Configuration du pilote JDBC . . . . . . . . 19 Ajout d'un pilote JDBC . . . . . . . . . 20 Configuration des sources de données Usage and Accounting Manager . . . . . . . . . . . 21 Ajout d'une source de données serveur ou collecteur - base de données . . . . . . . . 22 Ajout d'une source de données Collecteur Service Web . . . . . . . . . . . . . 25 Ajout d'une source de données de connexion au Collecteur-Serveur . . . . . . . . . . . 26 Ajout d'une autre source de données . . . . . 27 A propos de l'initialisation de la base de données. . 28 Initialisation de la base de données . . . . . 28 Chargement de la base de données avec des données exemple . . . . . . . . . . . . 29 © Copyright IBM Corp. 2006, 2011 Présentation de la sécurité . . . . . . . . Ajout d'utilisateurs à des groupes de sécurité . Groupes d'utilisateurs définis dans Tivoli Usage and Accounting Manager . . . . . . . . Sécurité de Tivoli Common Reporting basé sur Cognos . . . . . . . . . . . . . . Utilisation du groupe d'utilisateurs Windows TUAMUSERS. . . . . . . . . . . . . Configuration des répertoires après l'installation . Attribution de droits à un répertoire sur un système UNIX ou Linux . . . . . . . . Attribution de droits de sécurité ou de partage sur un système Windows . . . . . . . . Configuration des rapports TUAM dans Tivoli Common Reporting 2.1 . . . . . . . . . Importation du package TUAM Cognos dans Tivoli Common Reporting . . . . . . . Créer la connexion de source de données dans Cognos . . . . . . . . . . . . . . Configuration de Tivoli Integrated Portal 2.1 . . Registre d'utilisateurs central . . . . . . Connexion unique . . . . . . . . . . Protection du fichier de clés du coffre . . . Configuration de l'accès HTTP et HTTPS . . Activation de FIPS . . . . . . . . . . Configuration de la valeur du délai d'attente pour le jeton LPTA . . . . . . . . . . . 29 . 31 . 31 . 32 . 34 . 34 . 36 . 36 . 37 . 38 . . . . . . . 38 39 39 45 47 47 49 . 51 Remarques . . . . . . . . . . . . . 53 Marques . . . . . . . . . . . . . . 57 iii iv IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Avis aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte. Illustrations Les illustrations sont fournies à titre d'exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d'un pays à l'autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France IBM Canada ingénieur commercial représentant agence commerciale succursale ingénieur technico-commercial informaticien inspecteur technicien du matériel Claviers Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002, v le code clavier CF. Nomenclature Les touches présentées dans le tableau d'équivalence suivant sont libellées différemment selon qu'il s'agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier. © Copyright IBM Corp. 2006, 2011 v Brevets Il est possible qu'IBM détienne des brevets ou qu'elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu'IBM vous fournisse le présent document ne signifie pas qu'elle vous accorde un permis d'utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d'utilisation au directeur général des relations commerciales d'IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si vous avez besoin d'assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234. vi IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Configuration de Tivoli Usage and Accounting Manager 7.3 après l'installation Cette section décrit les étapes de configuration requises pour l'utilisation de Usage and Accounting Manager. Configuration de la base de données Cette section décrit les étapes requises pour configurer la base de données DB2, SQL Server ou Oracle que vous utiliserez avec Usage and Accounting Manager. Configuration et connexion à une base de données DB2 for Linux, UNIX et Windows Cette section décrit comment permettre à Usage and Accounting Manager d'utiliser une base de données DB2 for Linux, UNIX et Windows. Pour permettre à Usage and Accounting Manager d'utiliser une base de données DB2 for Linux, UNIX et Windows, procédez comme suit : v Créez une base de données à utiliser avec Usage and Accounting Manager. v Créez un pool de mémoire tampon et des espaces de table pour la base de données Usage and Accounting Manager. v Créez un ID utilisateur DB2 pour l'utilisateur Usage and Accounting Manager. v Activez Usage and Accounting Manager pour accéder à la base de données. Création d'une base de données DB2 for Linux, UNIX et Windows Reportez-vous à la documentation de votre base de données DB2 for Linux, UNIX et Windows pour plus d'informations sur la création d'une base de données. Remarques importantes v La base de données doit être créée en format UTF-8 (et non au format par défaut IBM-1252). – Lorsqu'une base de données standard est créée dans le Centre de contrôle DB2, cette valeur est spécifiée dans la boîte Code set de la fenêtre Specify the locale for this database. – Lorsqu'une base de données standard est créée à l'aide de commandes DB2, la commande ressemble à ceci : CREATE DATABASE TUAM ON ’C:’ USING CODESET UTF-8 TERRITORY US COLLATE USING SYSTEM; – Création d'un pool de mémoires tampon et d'espaces table Une fois que vous aurez créé la base de données, créez un pool de mémoires tampon pour la base de données, un espace table Regular, et des espaces table temporaires User et System. Ces étapes garantissent que vous disposez d'un pool de mémoires tampon d'une taille suffisante et que vous disposez des espaces table standard et temporaires requis (certaines procédures mémorisées requièrent un espace table temporaire). © Copyright IBM Corp. 2006, 2011 1 Pourquoi et quand exécuter cette tâche Utilisez la tâche suivante pour créer un pool de mémoires tampon pour la base de données, un espace table Regular et des espaces table temporaires User et System. Consultez votre administrateur de base de données pour obtenir de l'aide. Remarque : Pour éviter le problème de limite de 64Go dans DB2, vous devez créer un grand espace de table au lieu d'un espace de table normal. Le grand espace de table doit être de type DMS (Database managed Space, espace géré par la base de données) et non SMS (System Managed Space, espace géré pour le système). Pour plus d'informations, voir la rubrique Create Tablespace statement (Créer instruction d'espace de table) topic dans la documentation DB2 Version 9 for Linux, UNIX, and Windows. Pour plus d'informations sur la création d'un espace de table pour z/OS, voir la rubrique Create Tablespace (Créer un espace de table) dans la documentation DB2 Version 9.1 for z/OS. Procédure 1. Dans DB2 Control Center, accédez à la base de données Usage and Accounting Manager et développez-la. 2. Cliquez avec le bouton droit sur le dossier Buffer Pools, puis cliquez sur Créer. La boîte de dialogue de création d'un pool de mémoires tampon s'ouvre. 3. Créez un pool de mémoire tampon pour la base de données, d'une taille minimale de 16 ko, puis cliquez sur OK. 4. Cliquez avec le bouton droit sur le dossier Table Spaces, puis cliquez sur Créer. L'assistant de création d'espaces table s'affiche. 5. Suivez les indications de l'assistant pour créer un espace table Regular, puis répétez l'étape 4 pour créer des espaces tables temporaires User et System. Lorsque vous êtes invité à spécifier le pool de mémoires tampon pour les espaces table Regular, temporaire User et temporaire System, sélectionnez le pool de mémoires tampon ajouté à l'étape 3. Création d'un compte utilisateur DB2 pour Linux, UNIX et Windows pour Usage and Accounting Manager Il existe deux types de comptes utilisateurs DB2 qui peuvent être utilisés avec Usage and Accounting Manager : un compte d'administration qui peut effectuer des tâches administratives telles qu'initialiser la base de données Usage and Accounting Manager et un compte d'exécution qui peut effectuer toutes les autres tâches, telles qu'ajouter, mettre à jour et supprimer des données dans la base Pourquoi et quand exécuter cette tâche Remarque : Le schéma utilisé doit être associé à un compte de connexion d'utilisateur qui doit être utilisé comme code d'accès lors du paramétrage de la source de données Cognos. Par exemple, dans DB2, si les tables sont créées dans le schéma TUAM_OWNER de la base de données, un code d'accès TUAM_OWNER doit également être présent, qui sera le code d'accès de Cognos. Pour créer un utilisateur DB2 admin à l'aide de DB2 Control Center : Procédure 1. Dans l'arborescence des objets, développez la base de données Usage and Accounting Manager. 2. Développez le dossier Objets de groupe et d'utilisateur, puis cliquez avec le bouton droit sur le dossier Utilisateurs de base de données. 2 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation 3. Cliquez sur Ajouter. La boîte de dialogue Ajouter utilisateur s'affiche. 4. Renseignez la boîte de dialogue Ajouter utilisateur comme suit : v Sous l'onglet Base de données : a. Entrez un ID utilisateur comprenant 1 à 8 caractères dans la case Utilisateur . b. Sous Choisir les droits appropriés à accorder à l'utilisateur sélectionné, cliquez sur les droits suivants : – Connexion à la base de données – Création de tables – Création d'ensembles – Enregistrement de routines permettant d'exécuter le processus dans le gestionnaire de base de données – Droits d'administrateur de base de données (cochez cette case pour attribuer un droit d'administration à l'utilisateur (obligatoire pour effectuer des tâches d'administration dans la base de données Usage and Accounting Manager, telle qu'initialiser la base). Lorsque vous cochez cette case, les cases suivantes sont automatiquement cochées : Accès à l'utilitaire de chargement, Créer des routines externes et Connecter à la base de données au repos. – Création de schémas implicitement Remarque : Les privilèges recommandés pour les rôles utilisateur sont fournis dans «Rôles et privilèges de base de données TUAM», à la page 18. c. Cliquez sur Appliquer. v Les autres onglets sont facultatifs. Cliquez sur l'onglet correspondant au type d'objet pour lequel vous souhaitez attribuer les droits d'ID utilisateur. Pour ajouter un nouvel objet à n'importe quelle page, cliquez sur Ajouter <nom_objet> pour créer une ligne dans la table. Par exemple, si vous souhaitez ajouter un schéma, cliquez sur Add Schema. Utilisez l'une des méthodes suivantes pour accorder à l'utilisateur des droits sur un objet : a. Cliquez sur la ligne des droits correspondant à l'objet, puis cliquez sur Grant All. Vous pouvez sélectionner plusieurs lignes en maintenant la touche Ctrl ou Maj enfoncée. Si vous cliquez sur Grant All, Select Grant Option s'affiche. Pour accorder des droit à l'utilisateur seul, cliquez sur No Grant Option. Pour accorder des droits à l'utilisateur et lui permettre d'accorder ces mêmes droits à d'autres utilisateurs, cliquez sur With Grant Option. Pour révoquer tous les droits d'utilisateur sur un objet, cliquez sur la ligne des droits correspondant à l'objet, puis cliquez sur Revoke All. b. Cliquez sur Appliquer pour appliquer les modifications ou cliquez sur OK pour appliquer les modifications et fermer la boîte de dialogue. Activation de l'accès à la base de données DB2 for Linux, UNIX et Windows Pourquoi et quand exécuter cette tâche Si la base de données se trouve sur un serveur différent du serveur d'applications Usage and Accounting Manager, installez un client DB2 permettant d'accéder à la base de données ou DB2 Connect dans le serveur d'applications, puis configurez Configuration après installation 3 une connexion au système DB2. Les clients DB2 et DB2 Connect comprennent le pilote JDBC DB2. Pour obtenir une description détaillée de l'installation et de la configuration d'un client DB2 ou DB2 Connect, reportez-vous au centre de documentation IBM® DB2. Vous trouverez ci-dessous un exemple d'utilisation de l'application DB2 Configuration Assistant en vue de permettre à DB2 Connect de se connecter à la base de données. Les exigences de votre site peuvent être différentes de celles qui sont présentées dans cet exemple. Remarque : v Si la base de données et Usage and Accounting Manager se trouvent sur le même système, un client DB2 ou DB2 Connect n'est pas nécessaire. Procédure 1. Démarrez l'assistant de configuration de DB2. v Dans Windows, cliquez sur Démarrer > Tous les programmes > IBM DB2 > Set-up Tools > Assistant de configuration. v Sous Linux ou UNIX, entrez la commande db2ca à partir d'une fenêtre de la console. 2. Cliquez sur Selected > Add Database Using Wizard. L'assistant d'ajout de base de données s'affiche. 3. Dans la page Select how you want to set up a connection, cliquez sur Search the network, puis cliquez sur Next. 4. Dans la page Select a database from the network search result, naviguez jusqu'à la base de données de votre choix, puis cliquez sur Next. 5. Dans la page Specify a nickname for the database, entrez un alias pour la base de données et des commentaires (les deux sont facultatifs), puis cliquez sur Next. 6. Dans la page Register this database as a data source, sélectionnez Register this database for ODBC et As system data source, puis cliquez sur Finish. Résultats La boîte de message confirmant l'ajout de la base de données s'affiche. Vous pouvez l'utiliser pour fermer l'assistant, ajouter une autre connexion à la base de données, modifier la connexion à la base de données que vous venez d'ajouter ou tester la connexion à la base de données (recommandé). Vous pouvez afficher la base de données dans l'application DB2 Control Center. Configuration et connexion à une base de données DB2 for z/OS Cette section décrit comment permettre à Usage and Accounting Manager d'utiliser une base de données DB2 for z/OS. Pour permettre à Usage and Accounting Manager d'utiliser une base de données DB2 for z/OS, procédez comme suit : v Configurez le système DB2 z/OS. v Configurez l'assistant de configuration DB2 sur le serveur d'applications Usage and Accounting Manager. v Créez une base de données DB2. v Créez un ID utilisateur DB2 pour l'utilisateur Usage and Accounting Manager. v Activez Usage and Accounting Manager pour accéder à la base de données. 4 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Logiciel prérequis Cette rubrique décrit la configuration logicielle requise pour utiliser une base de données DB2 for z/OS avec Usage and Accounting Manager. Les logiciels prérequis sont les suivants : v DB2 Connect – La version 9.1 est requise si vous utilisez l'application Usage and Accounting Manager Web Reporting. – La version 8 est suffisante sur les ordinateurs qui ne sont pas utilisés pour accéder à l'application Usage and Accounting Manager Web Reporting. v DB2 for z/OS Version 8 Configuration des systèmes z/OS et DB2 Pour permettre à Usage and Accounting Manager de se connecter à la base de données DB2 for z/OS, les systèmes z/OS et DB2 doivent être configurés comme décrit cette rubrique. Procédure 1. Dans z/OS, activez TCP/IP. Pour plus d'informations, reportez-vous au manuel IBM TCP/IP for MVS: Customization and Administration Guide. 2. Dans DB2 for z/OS, procédez comme suit : a. Activez DDF (Distributed Data Facility) et le support TCP/IP. b. Définissez le paramètre de sous-système DESCSTAT par YES (s'il n'est pas déjà défini). 3. Exécutez le travail d'installation DB2 DSNTIJMS. Ce travail de post-installation crée les objets requis par les méthodes de métadonnées JDBC et ODBC DB2. Configurez l'assistant de configuration de DB2 sur le serveur d'applications Usage and Accounting Manager Cette rubrique décrit comment créer une connexion à un système DB2 for z/OS. Vous pouvez confirmer si une connexion existe déjà dans l'assistant de configuration DB2 ou dans DB2 Control Center. Pourquoi et quand exécuter cette tâche Procédure 1. Démarrez l'assistant de configuration de DB2. v Dans Windows, cliquez sur Démarrer > Tous les programmes > IBM DB2 > DB2COPY1 > Set-up Tools > Configuration Assistant. v Sous Linux ou UNIX, entrez la commande db2ca à partir d'une fenêtre de la console. 2. Cliquez sur Selected > Add Database Using Wizard. L'assistant d'ajout de base de données s'affiche. 3. Sur la page Select how you want to set up a connection, cliquez sur Manually configure a connection to a database, puis sur Suivant. 4. Sur la page Select a communications protocol, cliquez sur TCP/IP, puis cochez la case The database physically resides on a host or OS/400 system et cliquez sur le bouton d'option de la connexion applicable. 5. Cliquez sur Next. Configuration après installation 5 6. Sur la page Specify TCP/IP communication parameters, entrez les informations suivantes, puis cliquez sur Suivant : v Nom d'hôte. Entrez le nom, l'adresse IP ou le nom IP de l'hôte contenant la base de données cible. v Service name. Entrez le nom de service de l'instance du gestionnaire de base de données du serveur ou laissez cette case vierge. v Numéro de port. Entrez le numéro de port associé à l'instance de serveur DB2 qui contient la base de données cible. Pour déterminer le nom d'hôte (domaine) et le numéro de port corrects, reportez-vous à la configuration DDF affichée dans les messages de démarrage z/OS comme dans l'exemple suivant : 13.17.59 STC16980 13.18.21 STC16980 611 611 611 611 611 611 7. 8. 9. 10. DSNL003I DSNL004I :D81L DDF IS STARTING :D81L DDF START COMPLETE 611 LOCATION KSCDB201 LU USCACO01.DB2D81L GENERICLU -NONE DOMAIN demomvs.db2.ibm.com TCPPORT 446 RESPORT 5020 Dans cet exemple, le nom d'hôte est demomvs.db2.ibm.com et le port est 446. Sur la page Specify the name of the database to which you want to connect, entrez le nom et l'alias de la base de données, puis cliquez sur Suivant. Le nom de base de données ne désigne pas une base de données de l'instance DB2 for z/OS. Il s'agit du nom d'emplacement indiqué dans la configuration DDF. Dans le message de démarrage qui précède, le nom de base de données est KSCDB201. Sur la page Register this database as a data source, acceptez les valeurs par défaut, puis cliquez sur Suivant. Sur la page Specify the node options, cliquez sur OS/390 ou z/OS dans la case Système d'exploitation. Dans la case Nom d'instance, entrez le nom de l'instance qui contient la base de données ou laissez cette case vide. Cliquez sur Next. Sur la page Specify the system options, entrez le nom du système dans la case System name. Il s'agit du nom du système z/OS qui contient la base de données cible. Cliquez sur Next. 11. Sur la page Specify the security options, cliquez sur Use authentication value in server's DBM Configuration. Cliquez sur Terminer. Création d'une base de données DB2 for z/OS Reportez-vous à la documentation de votre base de données DB2 for z/OS pour plus d'informations sur la création d'une base de données. Remarques importantes v La base de données doit être créée à l'aide du schéma de codage UNICODE. v Le pool de mémoire tampon sélectionné pour les espaces table de la base de données doit être d'une taille minimale de 16 ko. Vous devez donc utiliser un pool de mémoire tampon BP16K0 ou supérieur. Création d'un compte utilisateur DB2 for z/OS pour Usage and Accounting Manager Cette rubrique décrit la création d'un utilisateur de DB2 à l'aide de DB2 Control Center. 6 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Pourquoi et quand exécuter cette tâche Remarque : Le schéma utilisé doit être associé à un compte de connexion d'utilisateur qui doit être utilisé comme code d'accès lors du paramétrage de la source de données Cognos. Par exemple, dans DB2, si les tables sont créées dans le schéma TUAM_OWNER de la base de données, un code d'accès TUAM_OWNER doit également être présent, qui sera le code d'accès de Cognos. Pour créer un utilisateur DB2 admin à l'aide de DB2 Control Center : Procédure 1. Dans l'arborescence d'objets de DB2 Control Center, naviguez jusqu'au sous-système contenant la base de données Usage and Accounting Manager et développez le sous-système. 2. Cliquez avec le bouton droit sur le dossier Utilisateurs de base de données, puis cliquez sur Créer. La boîte de dialogue de création d'un utilisateur de base de données s'affiche. 3. Sous l'onglet Sous-systèmes : a. Entrez un ID utilisateur comprenant 1 à 8 caractères dans la case Nom d'utilisateur. b. Acceptez les valeurs par défaut concernant les droits du sous-système. Consultez votre administrateur z/OS pour définir les droits requis. Notez que l'ID utilisateur de l'administrateur de Usage and Accounting Manager doit pouvoir créer et gérer ses tables, vues et procédures mémorisées DB2. Les privilèges recommandés pour les rôles utilisateur sont fournis dans «Rôles et privilèges de base de données TUAM», à la page 18. c. Cliquez sur Appliquer pour enregistrer l'identifiant ou cliquez sur OK pour enregistrer l'identifiant et fermer la boîte de dialogue. Que faire ensuite Les autres onglets de la boîte de dialogue Create DB User sont facultatifs. Consultez votre administrateur de base de données DB2 pour obtenir de l'aide sur le renseignement de ces onglets. Configuration et connexion à une base de données SQL Server Cette section décrit comment permettre à Usage and Accounting Manager d'utiliser une base de données SQL Server. Pour permettre à Usage and Accounting Manager d'utiliser une base de données SQL Server, procédez comme suit : v Créez une base de données SQL Server. v Créez une connexion utilisateur pour la base de données SQL Server Modes d'authentification d'utilisateur utilisés avec SQL Server 2000, 2005 et 2008 Le mode d'authentification de serveur SQL que vous pouvez utiliser dépend de la configuration du serveur SQL et d'IIS. Configuration après installation 7 A propos des modes d'authentification d'utilisateur Lorsque vous créez une connexion au serveur SQL pour un utilisateur Usage and Accounting Manager, deux modes d'authentification sont disponibles. Le mode d'authentification que vous pouvez utiliser dépend de la configuration du serveur SQL et d'IIS. v Mode d'authentification Windows. Ce mode permet à un utilisateur de se connecter via un compte utilisateur Windows. v Authentification de serveur SQL. Lorsqu'un utilisateur se connecte avec un nom de connexion et un mot de passe indiqués à partir d'une connexion non digne de confiance, le serveur SQL procède lui-même à l'authentification en vérifiant si un compte de connexion de serveur SQL a été configuré et si le mot de passe indiqué correspond à un mot de passe enregistré précédemment. Si le serveur SQL ne possède pas de compte de connexion défini, l'authentification échoue et l'utilisateur reçoit un message d'erreur. Détermination du mode d'authentification que vous pouvez utiliser Le mode d'authentification que vous pouvez utiliser dépend de la configuration du serveur SQL et d'IIS, comme le montre le tableau suivant. Notez que si vous utilisez SQL Server Reporting Services pour la fonction de rapport, un accès authentifié Windows IIS est recommandé pour les configurations dans lesquelles un accès authentifié ou anonyme peut être utilisé pour IIS. Tableau 1. Exigences d'authentification d'utilisateur d'IIS et de serveur SQL Configuration d'IIS et SQL IIS et le serveur SQL sur le même serveur. L'application Usage and Accounting Manager Web Reporting réside sur un site intranet. Authentification Authentification d'utilisateur d'utilisateur de serveur de serveur IIS obligatoire SQL obligatoire Accès authentifié Authentification Windows ou Authentification de serveur SQL Accès authentifié ou Authentification de serveur SQL Accès anonyme IIS et le serveur SQL sur des serveurs séparés. L'application Usage and Accounting Manager Web Reporting réside sur un site intranet. Accès authentifié IIS et le serveur SQL sur le même serveur ou sur des serveurs séparés. L'application Usage and Accounting Manager Web Reporting réside sur un site Internet. Accès anonyme ou Accès anonyme Authentification de serveur SQL Authentification de serveur SQL Authentification de serveur SQL Création d'une base de données SQL Server Reportez-vous à la documentation relative à la base de données SQL Server pour plus d'informations sur la création d'une base de données. 8 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Conseils sur les bases de données v Créez une base de données SQL Server insensible à la casse (paramètre par défaut dans SQL Server). Usage and Accounting Manager ne prend pas en charge les bases de données SQL Server sensibles à la casse. v Lorsque vous créez la base de données, sélectionnez le type de collecte SQL_Latin1_General_CP1_CI_AS. Assurez-vous de ne sélectionner que ce type de collecte de base de données et non un type semblable. Usage and Accounting Manager ne prend pas en charge d'autres types de collecte pour le moment. Définition du modèle de récupération de base de données Il est recommandé de modifier le modèle de récupération de base de données de Full, valeur par défaut, à Simple. Une récupération complète (Full) permet de récupérer la base de données à partir du point de défaillance. Une récupération Simple permet de récupérer la base de données à partir de la sauvegarde la plus récente. Etant donné que chaque donnée perdue peut être récupérée et rechargée à partir des fichiers CSR ou CSR+, le bénéfice apporté par la récupération complète n'est pas aussi avantageux compte tenu des économies de taille de fichier journal SQL Server et d'espace disque que le bénéfice permis par la récupération Simple. Remarque : Pour plus d'informations concernant la récupération de base de données, consultez votre administrateur de base de données. Pour SQL Server 2005, vous pouvez définir le modèle de récupération de base de données lors de la création de la base. Pour SQL Server 2000 et 2008, définissez le modèle de récupération de base de données comme suit : 1. Dans Enterprise Manager, accédez à la base de données souhaitée. 2. Cliquez avec le bouton droit de la souris sur la base de données, puis cliquez sur Propriétés. 3. Dans l'onglet Options, cliquez sur Simple dans la liste Model. 4. Cliquez sur OK. Création d'une connexion utilisateur pour une base de données SQL Server 2005 et 2008 Vous devez créer une connexion utilisateur au serveur SQL pour l'administrateur Usage and Accounting Manager au moyen du mode d'authentification de SQL Server. Pourquoi et quand exécuter cette tâche Remarque : Le schéma utilisé doit être associé à un compte de connexion d'utilisateur qui doit être utilisé comme code d'accès lors du paramétrage de la source de données Cognos. Par exemple, dans DB2, si les tables sont créées dans le schéma TUAM_OWNER de la base de données, un code d'accès TUAM_OWNER doit également être présent, qui sera le code d'accès de Cognos. Remarque : Les privilèges recommandés pour les rôles utilisateur sont fournis dans «Rôles et privilèges de base de données TUAM», à la page 18. Configuration après installation 9 Pour créer une connexion utilisateur : Procédure 1. Dans SQL Server Management Studio, accédez au dossier Sécurité. 2. Cliquez avec le bouton droit de la souris sur le dossier Sécurité, puis cliquez sur Nouveau > Connexion. La boîte de dialogue Login-New s'affiche. 3. Effectuez les étapes suivantes, puis cliquez sur OK lorsque vous avez fini de créer la connexion. Les étapes sont présentées par page (General, Server Roles, User Mapping, Securables et Status). Pour accéder à une page, cliquez sur le lien correspondant dans le cadre Select a page de la boîte de dialogue Login-New. Sur la page General de SQL Server Management Studio : Cette rubrique décrit les étapes requises pour remplir la page General de SQL Server Management Studio, afin de créer une connexion utilisateur à SQL Server 2005 et 2008. Procédure 1. Dans la case de nom de connexion, entrez ou sélectionnez le nom de connexion. Ce nom peut être un nom d'utilisateur Windows ou un nom de groupe Windows, de la forme <DOMAIN>\<Name>. Cliquez sur le bouton Parcourir en regard du nom de connexion pour ouvrir une boîte de dialogue et rechercher un utilisateur Windows. 2. Cliquez sur le mode d'autorisation Authentification de serveur SQL. 3. Entrez un mot de passe puis cochez ou décochez les cases suivantes : v Enforce password policy. La stratégie de mot de passe sera imposée pour cette connexion. Il s'agit du paramètre par défaut lorsque vous choisissez l'authentification de serveur SQL. v Enforce password expiration. La stratégie d'expiration de mot de passe sera imposée pour cette connexion. Enforce password policy doit être sélectionné pour activer cette case à cocher. v User must change password at next login. Le serveur SQL invite l'utilisateur à entrer un nouveau mot de passe à la première utilisation de la nouvelle connexion. 4. Dans la case Base de données par défaut, cliquez sur la base de données par défaut de la connexion. Il s'agit de la base de données que vous avez créée pour Usage and Accounting Manager. 5. Dans la case Langue par défaut, choisissez la langue par défaut de la connexion. Résultats Les cases à cocher suivantes ne sont pas disponibles par défaut : v Mapped to certificate. Indique que cette connexion est associée à un certificat. Utilisez l'instruction CREATE LOGIN pour créer une connexion mappée à un certificat. v Mapped to asymmetric key. Indique que cette connexion est associée à une clé asymétrique. Utilisez l'instruction CREATE LOGIN pour créer une connexion mappée à une clé asymétrique. 10 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Sur la page SQL Server Management Studio Server Roles : Cette rubrique décrit les étapes nécessaires pour remplir la page des rôles serveur de SQL Server Management Studio, afin de créer une connexion utilisateur SQL Server 2005 et 2008. Cochez la case sysadmin. Dans la page User Mappings de SQL Server Management Studio : Cette rubrique décrit les étapes requises pour remplir la page User Mappings de SQL Server Management Studio, afin de créer une connexion utilisateur à SQL Server 2005 et 2008. Procédure 1. Sous les utilisateurs mappés pour cette connexion, cochez la case Map correspondant à la base de données à laquelle vous souhaitez ajouter la connexion. 2. Sous Database role membership for, laissez la case public sélectionnée et cochez la case db_owner . Dans la page Securables de SQL Server Management Studio : Cette rubrique décrit les étapes requises pour remplir la page Securables de SQL Server Management Studio, afin de créer une connexion utilisateur à SQL Server 2005 et 2008. Procédure 1. Dans la grille Securables, ajoutez un ou plusieurs objets (serveurs, terminaux et connexion) pour lesquels vous souhaitez définir des autorisations de sécurité. Cliquez sur Ajouter et sur Supprimer pour ajouter et supprimer des objets. 2. La grille Explicit permissions for répertorie les autorisations possibles pour l'élément sécurisable sélectionné dans la grille supérieure. Cochez ou désélectionnez les cases Grant, With Grant et Deny pour configurer les autorisations. Toutes les options ne sont pas disponibles pour toutes les autorisations explicites. Deny remplacera tout autre paramètre. Si aucune case n'est cochée, les autorisations éventuelles seront héritées de l'appartenance à d'autres groupes. 3. Cliquez sur OK lorsque vous avez terminé. Dans la page Status de SQL Server Management Studio : Cette rubrique décrit les étapes requises pour remplir la page Status de SQL Server Management Studio, afin de créer une connexion utilisateur à SQL Server 2005 et 2008. Pourquoi et quand exécuter cette tâche Définissez les options suivantes : v Autorisation de se connecter au moteur de base de données. Cliquez sur Grant pour permettre à cette connexion de se connecter à cette instance du moteur de la base de données de SQL Server. v Connexion. Cliquez sur Enabled. Configuration après installation 11 Création d'une connexion utilisateur pour une base de données SQL Server 2000 Cette rubrique décrit les étapes nécessaires pour créer une connexion utilisateur SQL Server 2000. Pourquoi et quand exécuter cette tâche Remarque : Le schéma utilisé doit être associé à un compte de connexion d'utilisateur qui doit être utilisé comme code d'accès lors du paramétrage de la source de données Cognos. Par exemple, dans DB2, si les tables sont créées dans le schéma TUAM_OWNER de la base de données, un code d'accès TUAM_OWNER doit également être présent, qui sera le code d'accès de Cognos. Remarque : Les privilèges recommandés pour les rôles utilisateur sont fournis dans «Rôles et privilèges de base de données TUAM», à la page 18. Pour créer une connexion utilisateur : Procédure 1. Dans SQL Server Enterprise Manager, cliquez avec le bouton droit de la souris sur la base de données que vous avez créée pour Usage and Accounting Manager. 2. Cliquez sur Nouveau > Database User. La boîte de dialogue Database User Properties-New User s'affiche. 3. Dans la boîte Nom de connexion, cliquez sur <new>. La boîte de dialogue Propriétés de connexion au serveur SQL - Nouvelle connexion s'affiche. 4. Dans l'onglet General, procédez comme suit : v Dans la case Nom, effectuez l'une des tâches suivantes : – Pour utiliser l'authentification utilisateur Windows, entrez le nom d'utilisateur. Pour rechercher un utilisateur, cliquez sur le bouton Parcourir. – Pour utiliser l'authentification utilisateur du serveur SQL, entrez un nom de connexion utilisateur. v Dans la zone Authentification, cliquez sur Authentification Windows ou Authentification de serveur SQL. Si vous sélectionnez Authentification de serveur SQL, entrez un mot de passe. v Dans la zone Valeurs par défaut, cliquez sur la base de données par défaut pour se connecter à la case Base de données. 5. Dans l'onglet Server Roles, cochez la case Administrateurs système. 6. Dans l'onglet Database Access, cochez la case Permit pour la base de données pour laquelle vous créez la connexion. Une liste des autorisations de base de données s'affiche lorsque vous cochez la case public. 7. En gardant la case public sélectionnée, cochez la case db_owner, puis cliquez sur OK. 8. Si vous avez sélectionné Authentification de serveur SQL, dans la boîte de dialogue Confirmation de mot de passe, entrez à nouveau le mot de passe de connexion, puis cliquez sur OK. 9. Cliquez sur le bouton Fermer pour fermer la boîte de dialogue Database User Properties-New User. 12 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Résultats Pour confirmer que la connexion de l'utilisateur a été ajoutée, développez la base de données et cliquez sur Utilisateurs. Activation de l'accès à la base de données SQL Server Pour activer l'accès à une base de données SQL Server 2005, vous devez activer les connexions locales et distantes ; elles ne sont pas activées par défaut. Cela n'est pas requis pour une base de données SQL Server 2000 ou 2008. Procédure 1. 2. 3. 4. 5. Cliquez sur Démarrer > Tous les programmes > Microsoft SQL Server 2005 > Configuration Tools > SQL Server Surface Area Configuration. Cliquez sur Surface Area Configuration for Services and Connections. Cliquez sur Remote Connections. Cliquez sur Local and Remote Connections and Using TCP/IP only. Cette opération est obligatoire même si la base de données se trouve sur le serveur d'applications Usage and Accounting Manager. Cliquez sur OK. Que faire ensuite Si ces étapes ne sont pas effectuées, l'erreur invalid connection s'affiche dans Console d'administration. Utilisation de SQL Server 2005 Express Edition Cette rubrique décrit comment configurer SQL Server 2005 Express Edition pour l'utiliser avec Usage and Accounting Manager. SQL Server 2005 Express Edition est une version gratuite et facile à utiliser de SQL Server 2005. SQL Server Express Edition ayant une capacité de stockage limitée et ne prenant en charge qu'un seul processeur par ordinateur, cette application doit être utilisée avec Usage and Accounting Manager uniquement dans les situations suivantes : v A des fins de test, démonstration ou formation. Par exemple, lorsque vous installez Usage and Accounting Manager sur votre ordinateur personnel à des fins de formation et que vous voulez disposer d'une base de données rapide et facile à configurer. v Vous utilisez une base de données DB2 ou Oracle, vous utilisez SQL Server Reporting Services pour la génération de rapports mais vous ne possédez pas SQL Server. Dans ce cas, vous pouvez télécharger gratuitement SQL Server 2005 Express Edition et SQL Server 2005 Express Toolkit. Ce kit d'outils inclut Business Intelligence Development Studio, qui est nécessaire pour créer et personnaliser les rapports Reporting Services. Téléchargement et installation de SQL Server 2005 Express Edition : Pour utiliser SQL Server 2005 Express à la fois pour la base de données et les fonctions de création et de personnalisation de SQL Server Reporting, téléchargez et installez SQL Server 2005 Express Edition avec Advanced Services SP2 et SQL Server 2005 Express Toolkit. Les informations de ce chapitre décrivent l'installation de SQL Server 2005 Express sur un ordinateur sur lequel SQL Server n'est pas installé. Configuration après installation 13 Téléchargement de SQL Server 2005 Express Edition SQL Server 2005 Express Edition est disponible gratuitement sur le site Web Microsoft (http://www.microsoft.com/sql/default.mspx). Téléchargez SQL Server 2005 Express Edition avec Advanced Services SP2 et SQL Server 2005 Express Toolkit. SQL Server 2005 Express Edition avec Advanced Services offre un outil de gestion graphique, de recherche documentaire ainsi que d'autres fonctions. Installation de SQL Server 2005 Express Edition Le téléchargement Web de SQL 2005 Server Express est effectué sous forme d'un fichier compressé contenant un seul exécutable. Pour terminer l'installation, cliquez deux fois sur le fichier exécutable de SQL Server 2005 Express Edition (.exe) et suivez les étapes de l'assistant d'installation. Si vous avez besoin d'aide pour exécuter l'assistant, consultez votre administrateur de base de données. Voici les étapes principales de l'installation : v Sur la page de sélection des fonctions de l'assistant, sélectionnez toutes les fonctions excepté Software Development Kit. Pour sélectionner une fonction, cliquez sur la flèche en regard du nom de la fonction, puis sélectionnez La fonction complète sera téléchargée sur l'unité de disque dur locale dans la liste déroulante. v Sur la page du mode d'authentification, cliquez sur Mode mixte (Windows Authentication et SQL Server Authentication). Ce mode installe une instance SQL Server par défaut appelée SQLEXPRESS. Pour visualiser cette instance, cliquez sur Démarrer > Tous les programmes > Microsoft SQL Server 2005 > SQL Server Management Studio Express. Installation de SQL Server 2005 Express Toolkit Cliquez deux fois sur le fichier exécutable de SQL Server 2005 Express Toolkit (.exe) et suivez les étapes de l'assistant d'installation. Si vous avez besoin d'aide pour exécuter l'assistant, consultez votre administrateur de base de données. Voici les étapes principales de l'installation : v Sur la page de sélection des fonctions de l'assistant, cliquez sur la flèche en regard de Business Intelligence Development Studio et sélectionnez La fonction complète sera téléchargée sur l'unité de disque dur locale dans la liste déroulante. v Sur la page des composants existants, sélectionnez Workstation Components and Development tools <version>. Cette procédure installe Report Designer, qui est obligatoire pour créer et personnaliser des rapports SQL Server Reporting Services. Report Designer est inclus dans Business Intelligence Development Studio, qui est entièrement intégré dans l'environnement de développement Microsoft Visual Studio 2005. Pour ouvrir Report Designer, cliquez sur Démarrer > Tous les programmes > Microsoft SQL Server 2005 > SQL Server Business Intelligence Development Studio. Lorsque vous avez ouvert Business Intelligence Development Studio, vous pouvez ouvrir ou créer un modèle de projet de serveur de rapports. 14 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Configuration de SQL Server 2005 Express Edition pour utilisation avec Usage and Accounting Manager : L'installation SQL Server 2005 Express Edition installe par défaut une instance de SQL Server appelée SQLEXPRESS. Vous devez définir le protocole (TCP/IP) et le port utilisé pour la connexion de Usage and Accounting Manager au serveur de la base. Procédure 1. Cliquez sur Démarrer > Tous les programmes > Microsoft SQL Server 2005 > Configuration Tools > SQL Server Configuration Manager. 2. Dans le cadre gauche de SQL Server Configuration Manager, développez SQL Server 2005 Network Configuration. 3. Cliquez sur Protocols for SQLEXPRESS. 4. Dans le cadre droit, cliquez avec le bouton droit de la souris sur le noeud TCP/IP et cliquez sur Enable. 5. Cliquez à nouveau sur le noeud TCP/IP avec le bouton droit de la souris et cliquez sur Properties. 6. Dans la boîte de dialogue des propriétés TCP/IP, cliquez sur l'onglet IP Addresses. 7. Développez IPAll et définissez le numéro de Port TCP par une des valeurs suivantes et cliquez sur OK: v Le numéro de port SQL serveur par défaut (1433). v Un autre numéro de port. Si vous utilisez un numéro de port autre que 1433, vous devez indiquer ce numéro de port lors de la création de la source de données de la base de données SQL Server dans Console d'administration. 8. Redémarrez le service SQL Server (SQLEXPRESS) : a. Cliquez sur SQL Server 2005 Services. b. Cliquez avec le bouton droit de la souris sur SQL Server (SQLEXPRESS) et cliquez sur Restart. Création d'une base de données SQL Server 2005 Express Edition : L'installation SQL Server 2005 Express Edition installe par défaut une instance de SQL Server appelée SQLEXPRESS. Vous devez définir le protocole (TCP/IP) et le port utilisé pour la connexion de Usage and Accounting Manager au serveur de la base. Avant de commencer Remarque : Les étapes suivantes décrivent comment créer une base de données à l'aide des valeurs par défaut. Pour créer une base de données à l'aide d'autres valeurs, reportez-vous à la documentation de SQL Server 2005 Express Edition. Procédure Cliquez sur Démarrer > Tous les programmes > Microsoft SQL Server 2005 > SQL Server Management Studio Express. 2. Dans l'explorateur d'objets de SQL Server Management Studio Express, développez l'instance SQLEXPRESS. 3. Cliquez avec le bouton droit de la souris sur Bases de données et cliquez sur Nouvelle base de données. 1. Configuration après installation 15 4. Dans la boîte de nom de la base de données, entrez le nom à attribuer à la base. 5. Cliquez sur OK pour créer la base de données en acceptant toutes les valeurs par défaut. Que faire ensuite La base de données s'affiche dans Bases de données. Configuration et connexion à une base de données Oracle Cette section décrit comment permettre à Usage and Accounting Manager d'utiliser une base de données Oracle. Pour permettre à Usage and Accounting Manager d'utiliser une base de données Oracle, procédez comme suit : v Créez un schéma Oracle. v Modifiez le fichier sqlnet.ora v Activez Usage and Accounting Manager pour accéder à la base de données. Remarque : Usage and Accounting Manager Web Reporting requiert que le client Oracle 10g soit installé sur le serveur et que la désignation Easy Connect (EZCONNECT) soit activée. Il s'agit du paramètre par défaut pour le client Oracle 10g. L'installation du client doit également inclure l'interface Oracle Provider for OLE DB qui est disponible en sélectionnant l'installation personnalisée, puis en accédant à Oracle Windows Interface. Oracle Provider for OLE DB est répertorié en tant qu'élément dans cette section. Création d'un schéma Oracle Reportez-vous à la documentation de la base de données Oracle pour plus d'informations sur la création d'un schéma. Remarque : Le schéma utilisé doit être associé à un compte de connexion d'utilisateur qui doit être utilisé comme code d'accès lors du paramétrage de la source de données Cognos. Par exemple, dans DB2, si les tables sont créées dans le schéma TUAM_OWNER de la base de données, un code d'accès TUAM_OWNER doit également être présent, qui sera le code d'accès de Cognos. Conseils sur les schémas v L'administrateur de Usage and Accounting Manager doit posséder des privilèges de connexion et les privilèges nécessaires pour créer et gérer les tables des utilisateurs, des vues et des procédures mémorisées. Attribuez le rôle CONNECT ainsi que des rôles fournissant les privilèges d'administration requis, tels que le rôle DBA. Référence associée «Rôles et privilèges de base de données TUAM», à la page 18 La rubrique suivante a été créée pour aider les administrateurs de base de données à classifier et à choisir les paramètres de sécurité des différents rôles TUAM. Modification du fichier sqlnet.ora Le serveur Web IIS qui est utilisé pour l'application de rapport Web et d'autres applications Web de Usage and Accounting Manager, peut être défini pour utiliser un accès anonyme ou un accès Windows authentifié. Si vous utilisez une base de données Oracle et que vous voulez utiliser l'authentification Windows pour IIS, vous devez modifier le fichier sqlnet.ora. 16 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Si vous utilisez une base de données Oracle et que vous voulez utiliser l'authentification Windows pour IIS, modifiez la ligne suivante dans le fichier Oracle sqlnet.ora : SQLNET.AUTHENTICATION_SERVICES= (NTS) Mettez la ligne en commentaire en plaçant un dièse (#) en début de ligne ou modifiez NTS par NONE comme dans les exemples suivants : #SQLNET.AUTHENTICATION_SERVICES= (NTS) Ou SQLNET.AUTHENTICATION_SERVICES= (NONE) Si cette ligne n'est pas modifiée, l'erreur suivante est renvoyée : ORA-12638: Credential retrieval failed. Activation de l'accès à la base de données Oracle Usage and Accounting Manager Web Reporting requiert que le client Oracle 10g soit installé sur le serveur et que la désignation Easy Connect (EZCONNECT) soit activée. Il s'agit du paramètre par défaut pour le client Oracle 10g. L'installation du client doit également inclure l'interface Oracle Provider for OLE DB qui est disponible en sélectionnant l'installation personnalisée, puis en accédant à Oracle Windows Interface. Oracle Provider for OLE DB est répertorié en tant qu'élément dans cette section. Pourquoi et quand exécuter cette tâche La désignation Easy Connect d'Oracle (EZCONNECT) n'existait pas avant 10g ; par conséquent, le client Oracle 10g est nécessaire pour accéder à une base de données Oracle avec Web Reporting. La base de données dorsale peut être Oracle, 10 ou 9. Le message d'erreur suivant s'affiche s'il est impossible de se connecter à une source de données Oracle. AUCCM3204E Windows Web Reporting n’a pas pu établir de connexion de base de données Oracle à l’aide de la source de données : {nom_source_données}. La connectivité à la base de données Oracle depuis Windows Web Reporting requiert que le client Oracle 10g soit installé sur le serveur et que la désignation Easy Connect soit activée. Installez le client Oracle 10g sur le serveur Windows Web Reporting. Vous devez installer le client Oracle 10g sur le serveur de rapports (il peut s'agir du même serveur que le serveur d'applications ou d'un serveur distinct). Une fois que vous avez installé le client Oracle, procédez comme suit : 1. Vérifiez que le fichier sqlnet.ora inclut ezconnect dans le paramètre names.directory_path : names.directory_path =(tnsnames, ezconnect) 2. Assurez-vous que le groupe Authenticated Users possède un accès en lecture-écriture au répertoire de base d'Oracle ainsi qu'à tous les fichiers et sous-répertoires qu'il contient. 3. Dans la page Gestion des listes de sources de données d'Console d'administration, testez et mettez à jour la source de données utilisée par la base de données. Configuration après installation 17 Sauvegarde de la base de données Il est primordial de sauvegarder vos bases de données Usage and Accounting Manager afin de pouvoir récupérer les données en cas de défaillance du support ou de sinistre. Il est recommandé de sauvegarder votre base de données chaque semaine et de la sauvegarder sur un autre serveur dans un site différent. Consultez l'administrateur de la base de données au sujet de la sauvegarde et de la maintenance de la base. Rôles et privilèges de base de données TUAM La rubrique suivante a été créée pour aider les administrateurs de base de données à classifier et à choisir les paramètres de sécurité des différents rôles TUAM. Tableau 2. Privilèges par rôle Privilège Admin Traitement Rapport Propriété des tables/vues/procédures mémorisées X - - SELECT dans privilège des tables/vues X X X INSERT dans privilège des tables X X - DELETE du privilège des tables X X - UPDATE dans privilège des tables X X - privilège EXECUTE pour procédures mémorisées X - X Démarrage de Console d'administration Démarrez Console d'administration pour définir et configurer Usage and Accounting Manager. Pourquoi et quand exécuter cette tâche Pour démarrer Console d'administration : Procédure 1. Lancez un navigateur Web Internet Explorer ou Firefox, puis entrez http://<nom_hôte>:16310/ibm/console/ dans la barre d'adresse. Dans ce cas, <nom_hôte> définit le serveur qui exécute Console d'administration, tel que le nom du serveur ou l'adresse IP. Remarque : Le numéro de port doit être remplacé par le numéro de port correct si le port par défaut n'est pas utilisé. ou (Plateformes Windows uniquement) Cliquez sur Démarrer > Tous les programmes > IBM Tivoli Usage and Accounting Manager > Console d'administration 2. Dans la page d'accueil d'Console d'administration, procédez comme suit : v Si la sécurité a été définie pour Usage and Accounting Manager, entrez votre ID utilisateur et votre mot de passe dans la zone ID utilisateur et Mot de passe, puis cliquez sur Connexion. v Si la sécurité n'a pas été définie, laissez les cases ID utilisateur et Mot de passe vides et cliquez sur Connexion. 18 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Remarque : Définir la sécurité vous permet de définir quels utilisateurs ont accès à quelles pages de Usage and Accounting Manager dans Console d'administration. Par défaut, la sécurité de Usage and Accounting Manager est activée lors de l'installation. Acceptation du certificat de sécurité Lorsque vous vous connectez, il peut arriver qu'une alerte de sécurité s'affiche avec un message signalant un incident au niveau du certificat de sécurité. Ceci indique que l'application du navigateur est en train de vérifier le certificat de sécurité du serveur d'applications. Certificat auto-signé ou signé par une autorité d'accréditation Le serveur d'applications utilise un certificat de sécurité auto-signé. Lors de votre première connexion à la Console d'administration, il peut arriver qu'une alerte de sécurité s'affiche pour vous signaler un incident au niveau du certificat de sécurité. Vous pouvez être averti d'une éventuelle invalidité du certificat avec recommandation de renoncer à la connexion. Toutefois, malgré cet avertissement, le certificat est bien valide et vous pouvez accepter la connexion. Ou bien, si vous préférez, une autre option consiste à installer votre propre certificat signé par une autorité d'accréditation. Pour des informations sur la création de votre propre certificat CA signé, allez à : http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/ com.ibm.websphere.base.doc/info/aes/ae/tsec_sslcreateCArequest.html Pour plus d'informations sur les certificats, allez sur le site IBM WebSphere Application Server Community Edition Documentation Project à l'adresse http://publib.boulder.ibm.com/wasce/V2.1.1/en/overview.html, et consultez les rubriques Managing trust et Managing SSL certificates. Configuration du pilote JDBC JDBC est une interface de programme d'application permettant de connecter des programmes écrits en Java aux données d'une large gamme de bases de données. Pour permettre à Usage and Accounting Manager Processing Engine d'accéder à une base de données DB2, SQL Server ou Oracle, les pilotes JDBC appropriés doivent être disponibles sur le serveur sur lequel s'exécute Usage and Accounting Manager. Les pilotes JDBC pris en charge sont les suivants : v Pour DB2, le pilote JDBC est DB2 Universal JDBC Driver (Type 4). Le fichier de pilote et le fichier de licence sont requis comme suit : – Dans DB2 pour Linux, UNIX et Windows, db2jcc.jar et db2jcc_license_cu.jar (fichier de licence JAR), version 2.8.46 ou suivante. Le pilote et le fichier de licence sont fournis avec DB2 for Linux, UNIX et Windows 8.1 Fix Pack 11 ou versions ultérieures. – Dans DB2 pour z/OS UDB, db2jcc.jar et db2jcc_license_cisuz.jar (fichier de licence JAR). Ce pilote et fichier de licence sont inclus dans l'installation de DB2 Connect. Configuration après installation 19 v Pour SQL Server et Oracle, les pilotes JDBC sont sqljdbc4.jar (Microsoft) ou ojdbc14.jar, version 9.2.0.1 (Oracle). Ces pilotes sont disponibles à partir des sites Web Microsoft et Oracle : – http://www.microsoft.com/downloads/details.aspx?FamilyID=c47053eb3b64-4794-950d-81e1ec91c1ba&DisplayLang=en – http://www.oracle.com/technology/software/tech/java/sqlj_jdbc/index.html Ajout d'un pilote JDBC Le pilote JDBC approprié doit être disponible pour la base de données Usage and Accounting Manager ainsi que pour toute base de données à partir de laquelle les données sont collectées par Usage and Accounting Manager Data Collectors. JDBC est une interface de programme d'application permettant de connecter des programmes écrits en Java aux données d'une large gamme de bases de données. Les pilotes JDBC appropriés doivent être disponibles sur le serveur qui exécute Usage and Accounting Manager. Pourquoi et quand exécuter cette tâche La base de données utilisée pour stocker les données Usage and Accounting Manager doit utiliser l'un des pilotes suivants : v Pour DB2 for Linux, UNIX et Windows, db2jcc.jar et db2jcc_license_cu.jar (fichier JAR de licence), version 2.8.46 ou ultérieure. Le pilote et le fichier de licence sont fournis avec DB2 for Linux, UNIX et Windows 8.1 Fix Pack 11 ou versions ultérieures. v Pour DB2 for z/OS UDB, db2jcc.jar et db2jcc_license_cisuz.jar (licence). Ce pilote et fichier de licence sont inclus dans l'installation de DB2 Connect. v Pour Oracle, ojdbc14.jar version 10.1.0.2. Ce pilote de périphérique est disponible sur le site Web d'Oracle (http://www.oracle.com/technology/ software/tech/java/sqlj_jdbc/index.html). v Pour SQL Server, sqljdbc4.jar. Ce pilote de périphérique est disponible sur le site Web de Microsoft (http://www.microsoft.com/downloads/en/ details.aspx?FamilyID=a737000d-68d0-4531-b65d-da0f2a735707&displaylang=en). Vous pouvez utiliser d'autres pilotes pour des bases de données utilisées par Usage and Accounting Manager Data Collectors. Par exemple, si vous utilisez le collecteur de données DBSpace pour collecter des données à partir d'une base de données Sybase, vous devez utiliser le pilote JDBC pour cette base de données. Si vous utilisez plusieurs outils de base de données (par exemple, une base de données DB2 et une base de données Oracle pour stocker les données Usage and Accounting Manager), le pilote de chatque type de base de données est requis. Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Utilisation et configuration de la comptabilité > Pilotes . 2. Sur la page Configuration - Pilotes, cliquez sur Nouveau. Le bouton Parcourir et une zone de texte deviennent disponibles. 3. Entrez le chemin du pilote dans la zone de texte ou cliquez sur Parcourir pour localiser le chemin du pilote. 4. Cliquez sur OK pour ajouter le pilote. Le pilote est ajouté à la liste. 20 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Que faire ensuite Remarque : Si le pilote JDBC est également défini dans votre variable d'environnement CLASSPATH, assurez-vous que le chemin du pilote que vous définissez ici et le chemin du pilote dans CLASSPATH sont les mêmes. CLASSPATH est une variable d'environnement JAVA qui indique à la machine virtuelle Java où rechercher des classes et des modules définis par l'utilisateur dans des programmes Java. Configuration des sources de données Usage and Accounting Manager Une source de données est requise pour se connecter à la base de données de Usage and Accounting Manager. Une source de données est également nécessaire aux collecteurs de données de Usage and Account Manager qui collectent les données à partir d'une base de données ou d'un service Web. Il existe cinq types de sources de données dans Usage and Accounting Manager : v Serveur. Les sources de données se connectent à la ou les bases de données utilisées avec Usage and Accounting Manager. (Vous pouvez utiliser plusieurs bases de données avec Usage and Accounting Manager. Par exemple, vous pouvez disposer d'une base de données de production et d'une base de données de test.) Remarque : Vous pouvez utiliser le modèle de source de données default comme référence ou modifier la source de données pour l'utiliser dans votre entreprise. v Collecteur - Base de données. Pour les bases de données DB2, Oracle ou SQL Server qui utilisent les pilotes de périphérique par défaut qui sont pris en charge, il s'agit des sources de données qui se connectent à une base de données à partir de laquelle vous collectez des données à l'aide d'un collecteur Usage and Accounting Manager. Les pilotes de périphérique par défaut sont les suivants : – Pour DB2 for Linux, UNIX et Windows, db2jcc.jar et db2jcc_license_cu.jar (fichier JAR de licence), version 2.8.46 ou ultérieure. Le pilote et le fichier de licence sont fournis avec DB2 for Linux, UNIX et Windows 8.1 Fix Pack 11 ou versions ultérieures. – Pour DB2 for z/OS UDB, db2jcc.jar et db2jcc_license_cisuz.jar (licence). Ce pilote et fichier de licence sont inclus dans l'installation de DB2 Connect. – Pour Oracle, ojdbc14.jar, pour Oracle 9 ou 10.1.0.2 pour Oracle 10. Ce pilote de périphérique est disponible à partir du site Web d'Oracle. – Pour SQL Server, sqljdbc4.jar. Ce pilote est disponible sur le site Web Microsoft. v Collecteur - Service Web. Les sources de données se connectent à un service Web qui collecte les données à l'aide d'un collecteur de données Usage and Accounting Manager. v Connexion Collecteur—Serveur. Les sources de données se connectent à un serveur qui collecte les données à l'aide d'un collecteur de données Usage and Accounting Manager. v Autres. Pour les bases de données DB2, Oracle ou SQL Server qui n'utilisent pas les pilotes de périphérique par défaut qui sont pris en charge ou pour d'autres bases de données, il s'agit des sources de données qui se connectent à une base de données à partir de laquelle vous collectez des données à l'aide d'un Configuration après installation 21 collecteur Usage and Accounting Manager. Par exemple, pour collecter des données à partir d'une base de données Sybase ou Microsoft Access. Création de sources de données Après avoir installé Usage and Accounting Manager, créez une source de données serveurs qui se connecte à votre base de données Usage and Accounting Manager. Si vous utilisez un collecteur de données Usage and Accounting Manager pour collecter des données à partir de bases de données ou de services Web, créez un service Collecteur — Base de données, un service Collecteur - Service Web ou une autre source de données qui se connecte à chaque base de données ou service Web à partir duquel vous souhaitez collecter des données. Ajout d'une source de données serveur ou collecteur - base de données Une source de données serveur permet de se connecter à une base de données Usage and Accounting Manager. Une source de données Collecteur — Base de données permet de se connecter à une base de données DB2 for Linux, UNIX et Windows ; DB2 for z/OS ; Oracle ; ou SQL Server, dans laquelle vous collectez des données à l'aide du collecteur de données de Usage and Accounting Manager. Avant de commencer L'onglet Collecteur—Base de données permet de créer des sources de données pour les bases de données DB2 for Linux, UNIX et Windows ; DB2 for z/OS ; Oracle ; ou SQL Server, qui utilisent les pilotes par défaut pris en charge décrits dans «Configuration des sources de données Usage and Accounting Manager», à la page 21. Pour créer des sources de données pour des bases de données DB2, Oracle ou SQL Server qui n'utilisent pas les pilotes par défaut pris en charge ou pour d'autres types de bases de données (telles que Sybase ou Microsoft Access), utilisez l'onglet Autre. Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Sources de données > Serveur. ou Cliquez sur System Configuration (Configuration du système) > Sources de données > Collector—Database (Collecteur-Base de données). 2. Sur la page Maintenance de liste de source de données, cliquez sur Nouveau. 3. Sur la page Gestion des sources de données, renseignez les zones suivantes : Nom de source de données Entrez le nom souhaité pour la source de données. Remarque : Les caractères suivants ne sont pas valides pour un nom de source de données : "/", "\",'"',":","?","<",">",".","|",".". Nom de la base de données Entrez le nom de la base de données vers laquelle la source de données doit s'orienter. Pour une source de données DB2 for z/OS, la zone contient une entrée en deux parties <nom d'emplacement>/<nom de base de données>. 22 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Pour déterminer le nom d'emplacement correct, reportez-vous à la configuration DDF affichée dans les messages de démarrage de z/OS, comme dans l'exemple suivant : 13.17.59 STC16980 13.18.21 STC16980 611 611 611 611 611 611 DSNL003I DSNL004I :D81L DDF IS STARTING :D81L DDF START COMPLETE 611 LOCATION KSCDB201 LU USCACO01.DB2D81L GENERICLU -NONE DOMAIN demomvs.db2.ibm.com TCPPORT 446 RESPORT 5020 Dans cet exemple, l'emplacement est KSCDB201. Si vous créez une base de données DB2 for z/OS appelée TUAM71, vous entrez KSCDB201/TUAM71 dans cette zone. Préfixe d'objet Pour tous les types de bases de données autres que Microsoft SQL Server, entrez le nom de schéma de la base de données. Cette valeur est sensible à la casse. Ainsi, si le nom de schéma est TUAM, vous devez enter TUAM et non tuam. Les schémas de base de données sont définis à l'aide des outils d'administration de base de données. Si vous ne connaissez pas le nom du schéma, consultez votre administrateur de base de données. Pour SQL Server, il est fortement recommandé d'entrer dbo.. Ce préfixe d'objet définit le détenteur des objets de la base de données sur dbo, permettant ainsi à tous les utilisateurs autorisés de la base de données d'afficher les objets. Type de base de données Sélectionne le type de base de données. Type d'application Affiche le type de source de données ajouté ou édité. Cette boîte est fournie à titre informatif uniquement. Hôte Entrez le nom, l'adresse IP ou le nom IP de l'hôte contenant la base de données. Si vous utilisez une adresse Internet Protocol Version 6 (IPv6) en tant que nom d'hôte, l'adresse IP doit être indiquée comme suit : v Si vous n'utilisez pas la source de données pour Usage and Accounting Manager Web Reporting, entourez l'adresse entre crochets. Par exemple, l'adresse IPv6 aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb doit être indiquée sous la forme [aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb]. v Si vous utilisez la source de données pour Usage and Accounting Manager Web Reporting (c'est-à-dire la base de données utilisée pour la génération de rapports Web, n'indiquez pas les croches ; remplacez les deux points (:) de l'adresse par des tirets (-) et ajoutez .ipv6-literal.net à la fin de l'adresse. Par exemple, l'adresse IPv6 aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb doit être indiquée sous la forme aaaa-bbbb-cccc-dddd-eeee-ffff-aaaa-bbbb.ipv6-literal.net. Nom et mot de passe utilisateur Entrez L'ID et le mot de passe utilisateur de la base de données. Port Usage and Accounting Manager se connecte par défaut à l'un des ports suivants sur le serveur de la base de données : 50000 (DB2 for Linux, Configuration après installation 23 UNIX et Windows) ; 446 (DB2 for z/OS) ; 1433 (SQL Server) ou 1521 (Oracle). Si vous utilisez un port différent de ces ports par défaut, entrez le numéro de port. Pilote de périphérique Usage and Accounting Manager utilisera l'un des pilotes JDBC suivants : db2jcc.jar et db2jcc_license_cu.jar (unité d'oeuvre logique DB2) ; db2jcc.jar et db2jcc_license_cisuz.jar (DB2 z/OS) ; sqljdbc4.jar (SQL Server) ; ou ojdbc14.jar (Oracle). Le chemin d'accès au pilote JDBC doit être défini sur la page Pilotes de configuration. Paramètres Entrez les autres paramètres nécessaires à l'activation de la connexion à la base de données. Adresse URL Entrez une adresse URL si vous souhaitez utiliser une adresse URL différente de celle par défaut. Par exemple, vous pouvez ajouter des propriétés à l'adresse URL. 4. Cliquez sur OK pour sauvegarder les informations de la source de données et revenir à la page Gestion des listes de sources de données sur laquelle s'affiche la nouvelle source de données. Remarque : Pour vous assurer que la connexion à la base de données fonctionne, cliquez sur Test. Configuration des sources de données Admin par défaut, Traitement et Génération de rapports Si vous utilisez plusieurs bases de données pour stocker les données de Usage and Accounting Manager (par exemple, si vous possédez une base de données pour la production et une base de données pour le développement), vous devez sélectionner la source de données associée à une base de données en tant que valeur par défaut pour l'administration, le traitement des données et la génération de rapports Web. Notez que cette opération s'applique uniquement pour les sources de données Serveur. Pourquoi et quand exécuter cette tâche Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Sources de données > Serveur. 2. Dans la page interface Gestion des listes de sources de données, cliquez sur l'icône Afficher le menu en incrustation en regard du nom de la source de données dans la colonne Nom de source de données. 3. Cliquez sur chacun des éléments suivants : Définir admin S'affiche si la source de données est actuellement utilisée par l'application de la console de l'administrateur de Usage and Accounting Manager. Si Oui apparaît dans la colonne Admin par défaut, il s'agit de la source de données qu'utilisera Console d'administration. Définir le traitement S'affiche si la source de données est actuellement utilisée par l'application de l'utilitaire Usage and Accounting Manager Job Runner. Si Oui apparaît dans la colonne Traitement par défaut, il s'agit de la source de données qu'utilisera Job Runner. 24 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Définir le rapport S'affiche si la source de données est actuellement utilisée par l'application Usage and Accounting Web Reporting. Si Oui apparaît dans la colonne Génération de rapports par défaut, il s'agit de la source de données qu'utilisera l'application Web Reporting. Référence associée «Rôles et privilèges de base de données TUAM», à la page 18 La rubrique suivante a été créée pour aider les administrateurs de base de données à classifier et à choisir les paramètres de sécurité des différents rôles TUAM. Ajout d'une source de données Collecteur - Service Web Une source de données Collecteur - Service Web permet de se connecter à un service Web dans lequel vous collectez des données à l'aide de Usage and Accounting Manager Data Collector. Cette rubrique présente les étapes à suivre pour créer des sources de données Collecteur - Service Web. Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Sources de données > Collecteur—Service Web . 2. Sur la page Maintenance de liste de source de données, cliquez sur Nouveau. 3. Sur la page Gestion des sources de données, renseignez les zones suivantes : Nom de source de données Entrez le nom souhaité pour la source de données. Remarque : Les caractères suivants ne sont pas valides pour un nom de source de données : "/", "\",'"',":","?","<",">",".","|",".". Type d'application Affiche le type de source de données ajouté ou édité. Cette boîte est fournie à titre informatif uniquement. Nom et mot de passe utilisateur Entrez l'ID et le mot de passe utilisateur du service Web. Adresse URL Entrez l'adresse URL du service Web comme suit. Notez qu'il n'est pas obligatoire d'indiquer le port dans l'adresse URL, sauf si vous utilisez un port différent de 80 pour http et différent de 443 pour https. http://<nom serveur>:port ou https://<nom serveur>:port Mot de passe de la mémoire protégée Entrez le mot de passe de la mémoire protégée. 4. Cliquez sur OK pour sauvegarder les informations de la source de données et revenir à la page Gestion des listes de sources de données sur laquelle s'affiche la nouvelle source de données. Remarque : Pour vous assurer que la connexion à la base de données fonctionne, cliquez sur Test. Configuration après installation 25 Ajout d'une source de données de connexion au Collecteur-Serveur Une source de données Collecteur-Serveur permet de se connecter à un service Web dans lequel vous collectez des données à l'aide de Usage and Accounting Manager Data Collector. Cette rubrique présente les étapes à suivre pour créer des sources de données Collecteur-Serveur. Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Sources de données > Connexion Collecteur-Serveur. 2. Sur la page Maintenance de liste de source de données, cliquez sur Nouveau. 3. Sur la page Gestion des sources de données, renseignez les zones suivantes : Nom de source de données Entrez le nom souhaité pour la source de données. Remarque : Les caractères suivants ne sont pas valides pour un nom de source de données : "/", "\",'"',":","?","<",">",".","|",".". Type d'application Affiche le type de source de données ajouté ou édité. Cette boîte est fournie à titre informatif uniquement. Protocole Sélectionnez le protocole de connexion. Hôte Entrez le nom, l'adresse IP ou le nom IP de l'hôte contenant la base de données. Si vous utilisez une adresse Internet Protocol Version 6 (IPv6) en tant que nom d'hôte, l'adresse IP doit être indiquée comme suit : v Si vous n'utilisez pas la source de données pour Usage and Accounting Manager Web Reporting, entourez l'adresse entre crochets. Par exemple, l’adresse IPv6 aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb doit être indiquée sous la forme [aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb]. v Si vous utilisez la source de données pour Usage and Accounting Manager Web Reporting (c'est-à-dire la base de données utilisée pour la génération de rapports Web, n'indiquez pas les croches ; remplacez les deux points (:) de l'adresse par des tirets (-) et ajoutez .ipv6-literal.net à la fin de l'adresse. Par exemple, l’adresse IPv6 aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb doit être indiquée sous la forme aaaa-bbbb-cccc-dddd-eeee-ffff-aaaa-bbbb.ipv6-literal.net. Nom et mot de passe utilisateur Entrez l'ID et le mot de passe utilisateur du serveur. Port Le numéro de Port par défaut s'affiche. Il est basé sur le Protocole sélectionné. Ce numéro peut être mis à jour si vous utilisez un numéro de Port autre que le numéro par défaut. Timeout (Dépassement du délai d'attente) La valeur de Time Out (Dépassement du délai d'attente) par défaut s'affiche. Il est basé sur le Protocole sélectionné. Ce numéro peut être mis à jour si vous utilisez une valeur de Time Out (Dépassement du délai d'attente) autre que la valeur par défaut. 26 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Interpréteur de commandes limité Activez cette case à cocher si la connexion au serveur est un type de shell restreint. 4. Cliquez sur OK pour sauvegarder les informations de la source de données et revenir à la page Gestion des listes de sources de données sur laquelle s'affiche la nouvelle source de données. Remarque : Pour vous assurer que la connexion au serveur fonctionne, cliquez sur Test. 5. Cliquez sur Annuler pour annuler et revenir à la page Maintenance liste de sources de données. Ajout d'une autre source de données Une autre source de données permet de se connecter à une base de données DB2, Oracle ou SQL Server qui n'utilise pas les pilotes pris en charge par défaut de Usage and Accounting Manager ou pour d'autres types de bases de données (telles que Sybase ou Microsoft Access). Par exemple, une source de données Autre peut être une source de données qui pointe vers une base de données Sybase utilisée par le collecteur de données DBSpace de Usage and Accounting Manager. Avant de commencer Remarque : L'onglet Collecteur—Base de données permet de créer des sources de données pour les bases de données DB2 for Linux, UNIX et Windows ; DB2 for z/OS ; Oracle ; ou SQL Server, qui utilisent les pilotes par défaut pris en charge décrits dans «Configuration des sources de données Usage and Accounting Manager», à la page 21. Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Sources de données > Autres . 2. Sur la page Maintenance de liste de source de données, cliquez sur Nouveau. 3. Sur la page Gestion des sources de données, renseignez les zones suivantes : Nom de source de données Entrez le nom souhaité pour la source de données. Remarque : Les caractères suivants ne sont pas valides pour un nom de source de données : "/", "\",'"',":","?","<",">",".","|","." Nom et mot de passe utilisateur Entrez L'ID et le mot de passe utilisateur de la base de données. Pilote de périphérique Entrez le nom du fichier de pilote. Le chemin du pilote doit être défini sur la page Configuration—Pilotes. Paramètres Entrez les autres paramètres nécessaires à l'activation de la connexion à la base de données. Adresse URL Entrez les informations de connexion de base de données sous forme d'une adresse URL de base de données. Une adresse URL de base de données (ou adresse URL de connectivité JDBC) est un mode d'adressage de base de données indépendant de la plateforme. Une Configuration après installation 27 adresse URL de base de données/connectivité JDBC prend la forme jdbc:[sous-protocole]:[noeud]/[NomBase de données]. Par exemple, si vous accédez à une base de données appelée ituamdb1 sur le serveur abc.def.com à l'aide du sous-protocole ODBC, votre adresse URL de base de données peut être jdbc:odbc:abc.def.com/ ituamdb1. Si la base de données réside sur le même noeud que le serveur d'applications Usage and Accounting Manager, vous n'êtes pas obligé d'indiquer le noeud, comme dans l'exemple suivant : jdbc:odbc:ituamdb1. 4. Cliquez sur OK pour sauvegarder les informations de la source de données et revenir à la page Gestion des listes de sources de données sur laquelle s'affiche la nouvelle source de données. Remarque : Pour vous assurer que la connexion à la base de données fonctionne, cliquez sur Test. A propos de l'initialisation de la base de données L'initialisation de la base de données prépare la base de données à être utilisée par Usage and Accounting Manager. L'initialisation remplacera les éventuelles données existantes. Vous recevrez un message de confirmation si vous essayez d'initialiser une base de données qui a déjà été initialisée. L'initialisation de la base de données réalise les tâches suivantes : v Elle crée des tables de base de données v Elle remplit ces tables avec un ensemble de données initial v Elle crée les objets de base de données nécessaires Initialisation de la base de données L'initialisation de la base de données prépare la base de données à être utilisée par Usage and Accounting Manager. L'initialisation remplacera les éventuelles données existantes. Vous recevrez un message de confirmation si vous tentez d'initialiser une base de données qui a déjà été initialisée. Avant de commencer Si vous utilisez plusieurs bases de données pour Usage and Accounting Manager, assurez-vous que la source de données utilisée pour la base de données que vous souhaitez initialiser est définie sur Admin par défaut. L'initialisation remplace les éventuelles données existantes dans une base de données connectée à la source de données. Remarque : Si l'ID utilisateur que vous utilisez pour accéder à la base de données ne possède pas les droits d'administration système suffisants, Usage and Accounting Manager peut ne pas être en mesure de créer des objets de base de données ou des objets disposant des droits appropriés au cours de l'initialisation de la base de données. Dans pareil cas, un message d'avertissement s'affiche et vous conseille de contacter votre administrateur de base de données avant de poursuivre. 28 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Pourquoi et quand exécuter cette tâche Procédure 1. Dans Console d'administration, cliquez sur System Configuration (Configuration système) > Base de données > Initialiser la base de données . 2. Dans la page Initialiser la base de données, cliquez sur Initialiser la base de données. Chargement de la base de données avec des données exemple Vous pouvez charger la base de données avec des données exemple à l'aide du script RunSamples.bat ou RunSamples.sh situé dans <répertoire d’installation de Usage and Accounting Manager>\bin. Ces scripts exécutent les modèles de fichiers de travail fournis avec Usage and Accounting Manager dans <répertoire d’installation de Usage and Accounting Manager>\samples\jobfiles. Le chargement des données exemple n'est pas obligatoire. Les scripts RunSamples permettent uniquement de vérifier l'installation et de créer des exemples de données qui pourront être visualisées dans Console d'administration et dans les rapports. Une fois que Usage and Accounting Manager est en cours d'utilisation avec des données de production actuelles, les données exemples doivent être supprimées à l'aide de la page Suivi de chargement de Console d'administration. Les scripts RunSamples appellent la plupart des fichiers de travail à l'aide d'un paramètre -date. Le paramètre -date détermine la date de début et la date de fin des données de sortie. Par exemple, si le paramètre -date est défini par yyyy0601 (où yyyy indique l'année), les dates de début et de fin des données seront le 1er juin de l'année yyyy. Pour les fichiers non appelés à l'aide du paramètre -date, la date définie dans le fichier de travail est utilisée pour déterminer les dates de début et de fin. Les commandes suivantes permettent d'exécuter le script RunSamples dans un environnement Windows, Linux ou UNIX : v Windows : à l'invite de commande, entrez : <répertoire d’installation de Usage and Accounting Manager>\bin\RunSamples.bat v Linux ou UNIX : à l'aide d'une commande shell, entrez : <répertoire d’installation de Usage and Accounting Manager>/bin/RunSamples.sh Présentation de la sécurité Cette rubrique décrit les fonctions de sécurité pour Tivoli Usage and Accounting Manager. La sécurité dans Tivoli Usage and Accounting Manager est régie par les mécanismes suivants : v Rôles utilisateur définis dans Tivoli Integrated Portal. v Groupes d'utilisateurs définis dans l'application Tivoli Usage and Accounting Manager. v Sécurité de Tivoli Common Reporting basé sur Cognos Configuration après installation 29 Rôles utilisateur / Groupes de sécurité Définir la sécurité vous permet de définir quels utilisateurs ont accès à quelles pages de Usage and Accounting Manager dans Console d'administration. Par défaut, la sécurité de Usage and Accounting Manager est activée lors de l'installation. Il existe six groupes de sécurité qui déterminent l'accès aux pages de Usage and Accounting Manager dans Console d'administration. Les groupes de sécurité tcrPortalOperator et iscadmins permettent d'administrer Tivoli Common Reporting et Tivoli Integrated Portal. Un utilisateur Usage and Accounting Manager a besoin du groupe de sécurité tcrPortalOperator pour accéder à Tivoli Common Reporting et l'administrer. Un utilisateur Usage and Accounting Manager a besoin du groupe de sécurité iscadmins pour accéder à Tivoli Integrated Portal et l'administrer. . Tableau 3. Groupe de sécurité Pages autorisées tuamadmin Toutes les pages. tuamchargebackadmin Toutes les pages exceptées Initialiser la base de données, Mise à niveau de la base de données, Gestionnaire d'objets de base de données, Gestionnaire de base de données, Gestionnaire de table, Afficheur de table, et toutes leurs sous-pages. tuammaint Clients, Taux, Groupes de taux, Rapports, Groupes de rapports, Distribution des rapports, et toutes leurs sous-pages. tuamtransactions Divers, Maintenance de la liste des transactions récurrentes ou de crédit et toutes leurs sous-pages. tuamwebreportinguser Permet aux utilisateurs de Web Reporting de s'authentifier avec un registre d'utilisateurs central. tuamwebreportingadmin Titres, Rapports, Groupes de rapports, Distribution des rapports et toutes leurs sous-pages. tcrPortalOperator Toutes les pages de Tivoli Common Reporting. Les autres pages comprennent la page Accueil, les pages My Startup (Mon démarrage), la page Credential Store (Stock d'informations d'identification) et la page Change Your Password (Modifier votre mot de passe). iscadmins Toutes les pages de Tivoli Integrated Portal. Affecter des rôles de génération de rapports Web Vous devez affecter des rôles de génération de rapports Web (groupes de sécurité) aux utilisateurs. Deux rôles doivent être affectés dans Web Reporting, le rôle administrateur (tuamwebreportingadmin) et le rôle utilisateur (tuamwebreportinguser). Le rôle administrateur permet de spécifier les options de configuration et les paramètres de sécurité pour les divers rôles utilisateur TUAM. 30 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Le rôle utilisateur permet à l'utilisateur d'exécuter et d'afficher des rapports. Le rôle utilisateur n'a pas accès aux paramètres de configuration de la génération de rapports Web. La génération de rapports Web doit être activée dans l'onglet System Configuration (Configuration système) > Utilisation et configuration de la comptabilité -> Génération de rapports si vous utilisez Web reporting. Les utilisateurs affectés au rôle administrateur ont accès à l'activation de la génération de rapports Web. Ajout d'utilisateurs à des groupes de sécurité Cette rubrique décrit les étapes requises pour ajouter des utilisateurs aux groupes de sécurité Usage and Accounting Manager. Procédure 1. Dans Console d'administration, cliquez sur Utilisateurs et groupes > Rôles utilisateur. 2. Sur la page Rôles utilisateur, cliquez sur Rechercher pour trouver tous les utilisateurs ou entrez un ID utilisateur et cliquez sur Rechercher pour trouver un utilisateur spécifique dans le registre d'utilisateurs central. 3. Cliquez sur l'utilisateur auquel vous souhaitez affecter un rôle. 4. Vérifiez le ou les rôle(s) que vous souhaitez affecter à l'utilisateur : v v v v v tuammaint tuamchargebackadmin tuamadmin tuamtransactions tuamwebreportinguser v tuamwebreportingadmin v tcrPortalOperator v iscadmins 5. Cliquez sur Sauvegarder. Cette action effectue la sauvegarde directement dans la configuration principale. Groupes d'utilisateurs définis dans Tivoli Usage and Accounting Manager Un utilisateur est une personne disposant de droits d'accès aux applications Web d'Usage and Accounting Manager. Chaque utilisateur ne peut appartenir qu'à un seul groupe d'utilisateurs. Les utilisateurs se voient attribuer les mêmes droits et privilèges que ceux attribués au groupe. Pourquoi et quand exécuter cette tâche Pour plus d'informations sur les utilisateurs et les groupes dans Tivoli Usage and Accounting Manager, voir la rubrique assocuée sur Définition d'utilisateurs et de groupes. Configuration après installation 31 Sécurité de Tivoli Common Reporting basé sur Cognos Utilisez les rubriques suivantes pour accéder aux informations sur les paramètres de sécurité dans Common Reporting. Remarque : La sécurité de génération de rapports pour Common Reporting est gérée dans Cognos directement. La sécurité s'appliquant à Web Reporting ne s'applique pas à Common Reporting. Configuration des permissions de sécurité Améliorez les paramètres de sécurité des permissions de l'utilisateur de Tivoli Common Reporting basé sur Cognos. Par défaut, tous les utilisateurs créés, y compris ceux spécifiés au cours du processus d'installation, disposent de privilèges d'administration complets. Vous pouvez les modifier dans Console d'administration. Pourquoi et quand exécuter cette tâche Pour en savoir plus sur Tivoli Common Reporting, version 2.1, sur les paramètres de sécurité pour les autorisations, voir le guideCognos Administration and Security Guide. Par défaut, tous les nouveaux utilisateurs créés pour le portlet Common reporting sont assignés au groupe d'utilisateurs Everyone (Tout le monde) qui est un sous-ensemble d'Administrateurs système. Pour améliorer la sécurité de votre solution de génération de rapports, modifiez les membres du groupe d'utilisateurs Administrateurs système en ajoutant l'administrateur prévu et en supprimant le groupe d'utilisateurs Everyone. Procédure 1. Connectez-vous à Tivoli Integrated Portal : a. Accédez à l'adresse URL suivante : http://nom_hôte:port/ibm/console. L'adresse URL par défaut est http://localhost:16310/ibm/console. Remplacez nom_hôte par le nom d'hôte TCP/IP du système sur lequel Tivoli Common Reporting est installé, ou localhost si vous exécutez le navigateur Web sur le même système. Remplacez port par le numéro de port que vous avez indiqué lors de l'installation. Conseil : Sur un système Windows sur lequel Tivoli Common Reporting est installé localement, cliquez sur Démarrer > Tivoli Common Reporting > Lancer le navigateur de génération de rapports pour ouvrir le navigateur par défaut avec l'adresse URL correcte. b. Dans la page de connexion de Tivoli Integrated Portal, connectez-vous à l'aide d'un ID utilisateur pouvant accéder à Tivoli Common Reporting. L'accès est déterminé par les rôles utilisateur associés aux ID utilisateur.Il peut s'agir de l'ID utilisateur et du mot de passe indiqués à l'installation ou d'un ID utilisateur et d'un mot de passe fournis par un administrateur.La fenêtre de navigation de Tivoli Integrated Portal s'ouvre. Conseil : Une seule connexion est requise lors de l'accès à l'interface de génération de rapports. L'option SSO est activée pour les deux options de génération de rapports. 2. Accédez à Génération de rapports > Common Reporting. 3. Ouvrez la liste déroulante Launch (Lancer) et sélectionnez Administration. 32 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation 4. Dans l'onglet Sécurité, allez dans Utilisateurs, groupes et rôles et sélectionnez l'espace de nom de l'utilisateur Cognos. 5. Localisez le groupe Administrateurs système et définissez les propriétés du groupe en cliquant sur More (Plus) > Set properties (Définir les propriétés). 6. Dans l'onglet Membres, cliquez sur Ajouter pour ajouter un utilisateur administratif individuel. 7. Ajoutez l'utilisateur administratif de votre choix dans l'espace de nom VMMProvider, puis cliquez sur OK pour enregistrer les paramètres. 8. Supprimez le groupe d'utilisateurs Everyone (Tout le monde) de Administrateurs système en cochant le case et en cliquant sur Supprimer. 9. Cliquez sur OK pour enregistrer les nouveaux paramètres. Restriction de l'accès aux rapports Gérez les permissions accordées aux utilisateurs ou groupes d'utilisateurs pour les rapports et les droits pour les rapports, les ensembles de rapports ou les dossiers de la même façon qu'avec les concepts et méthodes natifs Cognos. Par défaut, les permissions et droits auxquels les groupes d'utilisateurs ou rapports sont affectés proviennent de l'entrée parent. Pourquoi et quand exécuter cette tâche Remarque : Les utilisateurs et groupes mentionnés ici sont les utilisateurs et groupes Tivoli Integrated Portal (registre d'utilisateurs central) et non les utilisateurs et groupes de Tivoli Usage and Accounting Manager Vous pouvez changer les permissions par défaut de certains groupes ou utilisateurs spécifiques pour les rapports ou packages de rapports. Vous pouvez également changer les droits pour les rapports, les ensembles de rapports et les dossiers. Procédure 1. Connectez-vous à Tivoli Integrated Portal. 2. Dans Console d'administration, accédez à Génération de rapports > Common reporting. 3. Accédez au rapport pour lequel vous souhaitez changer les permissions utilisateur et sélectionnez-le. 4. Cliquez sur Actions > Set properties (Définir les propriétés). 5. Accédez à l'onglet Permissions. La table affiche les permissions par défaut définies pour les groupes d'utilisateurs. 6. Sélectionnez Override the access permissions acquired from the parent entry (Remplacer les permissions d'accès acquises depuis l'entrée parent) et choisissez les types de permissions que vous souhaitez accorder à des groupes d'utilisateurs spécifiques. 7. Accédez à l'onglet Fonctions. Dans la table, vous pouvez voir quels droits sont affectés aux rapports, ensembles de rapports ou dossiers. 8. Sélectionnez Override the capabilities acquired from the parent entry (Remplacer les droits acquis depuis l'entrée parent) pour accorder ou refuser des droits. Que faire ensuite Pour en savoir plus sur les permissions et les droits, voir IBM Cognos Administration and Security Guide - Permissions et Capabilities. Configuration après installation 33 Utilisation du groupe d'utilisateurs Windows TUAMUSERS Au cours de l'installation de Usage and Accounting Manager, un groupe d'utilisateurs Windows appelé TUAMUSERS est créé. Ce groupe possède les droits de lecture et d'écriture sur les répertoires <répertoire d’installation de Usage and Accounting Manager>\server\reportsmsrs2 et <répertoire d’installation de Usage and Accounting Manager>\server\financial_modeler. Ces répertoires contiennent respectivement les rapports de Usage and Accounting Manager générés pour SQL Server Reporting Services et les fichiers utilisés par l'application Financial Modeler. Le groupe TUAMUSERS contient les comptes de système local suivants : v ASPNET (pour Windows 2000 Server) v NT AUTHORITY\NETWORK SERVICE (pourWindows Server 2003 et 2008) Selon la plateforme Windows sur laquelle s'exécute le serveur Web Usage and Accounting Manager, le site Web de génération de rapports Web d'Usage and Accounting Manager s'exécute dans l'un de ces comptes locaux. Configuration des répertoires après l'installation Après avoir installé Usage and Accounting Manager, vous devez installer les répertoires afin qu'ils stockent les fichiers requis indiqués dans les pages Configuration-Traitement et Configuration-Génération de rapports Web de Console d'administration. Vous trouverez ci-dessous les boîtes des pages Configuration—Traitement et Configuration—Génération de rapports Web qui définissent les chemins des répertoires utilisés par Usage and Accounting Manager. Pour ouvrir les pages Configuration, cliquez sur System Configuration (Configuration système) > Utilisation et configuration de la comptabilité. Répertoires définis dans la page Configuration—Traitement Chemin de définition de traitement Chemin du répertoire qui contient des répertoires de processus individuels. Dans cette boîte, le chemin pointe par défaut vers <répertoire d’installation de Usage and Accounting Manager>\samples\processes. Un répertoire de processus contient des fichiers et des données de traitement tels que les fichiers qui sont générés lors du cycle de traitement des données. Déplacez le répertoire processes vers un autre emplacement, puis entrez le nouveau chemin. Remarque : Vous pouvez renommer le répertoire processes par n'importe quel nom ou conserver le nom actuel. Cependant, pour une question de cohérence, le répertoire est appelé processes dans ce centre de documentation. Chemin des fichiers de travail Chemin du répertoire qui contient les fichiers de travail. Un fichier de travail est un fichier XML qui définit le processus de collecte de données et de chargement de ces données dans une base de données Usage and Accounting Manager. Vous pouvez utiliser le chemin par défaut ou déplacer les fichiers de travail vers un autre emplacement et définir le nouveau chemin. 34 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Chemin d'accès aux fichiers de modèle de travail Chemin du répertoire qui contient les modèles de fichiers de travail. Ces fichiers exemple sont fournis avec Usage and Accounting Manager dans <répertoire d’installation de Usage and Accounting Manager>\samples\jobfiles. Vous pouvez utiliser le chemin par défaut ou déplacer les modèles de fichiers de travail à un autre endroit et définir le nouveau chemin. Chemin d'accès aux fichiers journaux de travail Chemin du répertoire qui contient les fichiers journaux de travail. Un journal de travail fournit les résultats de traitement de chaque étape définie dans le fichier de travail. Si un avertissement ou un incident est signalé pendant le traitement, le fichier indique le moment auquel celui-ci a été généré. Vous pouvez utiliser le chemin par défaut ou déplacer les fichiers journaux de travail vers un autre emplacement et définir le nouveau chemin. Chemin d'accès aux fichiers journaux de collecteur Chemin du répertoire qui contient les fichiers journaux de collecteur. Les fichiers journaux de collecteur sont des fichiers de décompte d'utilisation créés par des collecteurs de données Usage and Accounting Manager. Ces fichiers d'utilisation sont traités par Usage and Accounting Manager. Dans cette boîte, le chemin pointe par défaut vers <répertoire d’installation de Usage and Accounting Manager>\samples\logs\collectors. Copiez le contenu du répertoire samples\logs\collectors dans <répertoire d’installation de Usage and Accounting Manager>\logs\collectors et indiquez ce chemin. Répertoires définis dans la page Configuration—Génération de rapports Web Remarque : Les options de cette section sont disponibles uniquement lorsque Web Reporting est installé ou lorsqu'il est activé via le panneau de génération de rapports dans la console d'administration. Chemin du dossier des rapports standard Chemin du répertoire qui contient les rapports standard Usage and Accounting Manager. Les rapports standard correspondent aux rapports fournis avec Usage and Accounting Manager. La plupart du temps, vous devez personnaliser les rapports standard pour votre organisation. Pour une description de chaque rapport standard, voir le centre de documentation de Usage and Accounting Manager. Vous pouvez utiliser le chemin par défaut ou déplacer les rapports standard vers un autre emplacement et définir le nouveau chemin. Chemin du dossier des rapports personnalisés Chemin du répertoire qui contient les rapports personnalisés. Les rapports personnalisés correspondent aux rapports créés par le développeur de rapports indépendamment ou à partir des rapports standard fournis avec Usage and Accounting Manager. Les utilisateurs peuvent accéder aux rapports standard et personnalisés (le cas échéant) à l'aide de la page Rapports ou Tableurs de Usage and Accounting Manager Web Reporting. Vous pouvez utiliser le chemin par défaut ou déplacer les rapports à un autre endroit et définir le nouveau chemin. Chemin du dossier des rapports publiés Chemin du répertoire qui contient les rapports publiés. Les rapports Configuration après installation 35 publiés sont sauvegardés avec les données générées lors de leur exécution. La publication d'un rapport permet aux utilisateurs de visualiser un rapport sans le régénérer. Vous pouvez utiliser le chemin par défaut ou déplacer les rapports publiés à un autre endroit et définir le nouveau chemin. Attribution de droits à un répertoire sur un système UNIX ou Linux Pour envoyer un fichier à partir d'un système distant dans un répertoire sur un système UNIX etLinux, ce répertoire doit posséder des droits en lecture/écriture. Avant de commencer Par exemple, supposons la situation suivante : v Le répertoire processes sur le serveur d'applications Usage and Accounting Manager a été défini comme suit : /opt/ibm/tuam/processes v Le collecteur de données de Usage and Accounting Manager pour les données des systèmes d'exploitation UNIX et Linux a été déployé sur une plateforme distante ; vous souhaitez que le collecteur envoie pendant la nuit des fichiers CSR au répertoire UnixOS sur le serveur d'applications de Usage and Accounting Manager. v Dans ce scénario, utilisez la commande suivante pour garantir que la plateforme distante possède le droit d'écrire des fichiers dans le répertoire UnixOS. > chmod 777 /opt/ibm/tuam/processes/UnixOS Ce scénario serait également applicable si le collecteur de données de Usage and Accounting Manager générait quotidiennement des fichiers journaux sur un système distant et que vous souhaitiez envoyer les fichiers dans le répertoire de fichiers journaux du collecteur sur le serveur d'applications de Usage and Accounting Manager. Par exemple, si vous souhaitez envoyer au serveur d'applications des journaux d'enregistrement AIX Advanced Accounting de type 6, utilisez la commande suivante : > chmod 777 /opt/ibm/tuam/logs/collectors/AACCT_6 Attribution de droits de sécurité ou de partage sur un système Windows Pour envoyer des fichiers d'accès sur un système local ou distant, vous devez définir des droits de sécurité ou de partage appropriés. Avant de commencer Par défaut, le groupe TUAMUSERS possède des droits en lecture et écriture sur les répertoires <répertoire d’installation de Usage and Accounting Manager>\server\reportsmsrs2 et <répertoire d’installation de Usage and Accounting Manager>\server\financial_modeler. 36 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Si vous déplacez le contenu de ces répertoires dans d'autres répertoires sur le serveur dans lequel réside le serveur d'applications de Usage and Accounting Manager, vous devez attribuer des droits de sécurité en lecture et en écriture pour ces répertoires, pour le groupe TUAMUSERS. Pour attribuer ces droits : 1. Cliquez avec le bouton droit de la souris sur le répertoire et cliquez sur Partage et sécurité. 2. Dans l'onglet Sécurité, sélectionnez le groupe TUAMUSERS dans la boîte Noms de groupe ou d'utilisateur (si le groupe TUAMUSERS n'apparaît pas dans la boîte, ajoutez-le). 3. Vérifiez que le groupe TUAMUSERS possède au moins les droits en lecture et en écriture, puis cliquez sur OK. Si le répertoire reportsmsrs2 réside sur un autre serveur que le serveur d'applications Usage and Accounting Manager, procédez comme suit : v Attribuez une partition au répertoire pour lequel le groupe Everyone possède le droit Contrôle total. v Ouvrez le fichier <répertoire d’installation de Usage and Accounting Manager>\server\web2\web.config et ajoutez <identity impersonate="true" /> pour le groupe <system.web>, comme suit : <configuration> ... <system.web> <identity impersonate="true" /> ... </system.web> </configuration> Le répertoire dans lequel vous stockez les répertoires de processus doit également posséder le droit de partage Contrôle total pour le groupe Everyone. Par exemple, si vos répertoires de processus se trouvent dans <répertoire d’installation de Usage and Accounting Manager>\processes, attribuez un partage au répertoire processes. Configuration des rapports TUAM dans Tivoli Common Reporting 2.1 Cette section explique comment importer le package Tivoli Usage and Accounting Manager Cognos dans Tivoli Common Reporting. Cette action implique la création de la connexion de source de données et l'importation manuelle du package à l'aide de l'outil d'importation de package Tivoli Common Reporting. Prérequis v Tivoli Common Reporting 2.1 est installé. v Le client de base de données approprié est installé et configuré avec les détails de la base de données. Configuration après installation 37 Importation du package TUAM Cognos dans Tivoli Common Reporting Cette rubrique décrit comment importer le package TUAM Cognos dans Tivoli Common Reporting. Importez des packages de rapports dans votre espace de travail à l'aide de l'interface utilisateur et commencez à utiliser un modèle de rapport existant et des rapports. Cette méthode d'importation peut être utilisée pour les rapports Cognos uniquement. Avant de commencer Avant d'exécuter cette tâche, vous devez vous assurer que Tivoli Common Reporting 2.1 est installé. Le client de base de données approprié doit être installé et configuré avec les détails de la base de données. Copiez le fichier de package de rapports à partir de <TUAM_INSTALL_PATH>\setup\console\reportscognos\package\ TUAM_Reports_7-3-0.zip vers le dossier de déploiement dans Tivoli Common Reporting <rép_composant_TCR>\cognos\deployment. Remarque : La connexion utilisée lors de la configuration de la source de données Cognos doit utiliser les mêmes détails de compte de connexion que ceux utilisés pour initialiser le schéma TUAM. Procédure 1. Connectez-vous à l'interface Tivoli Usage and Accounting Manager et accédez à Génération de rapports > Common Reporting. 2. Dans la fenêtre Work with reports (Travailler avec des rapports), sur la droite, choisissez Administration dans la liste déroulante Launch (Lancer). 3. Accédez à l'onglet Configuration et ouvrez la section Content Administration (Administration de contenu). 4. Créez une nouvelle importation de package en cliquant sur action ouvre un assistant New Import (Nouvelle importation). 5. Suivez l'assistant pour importer un nouveau package. . Cette Conseil : Pour plus d'informations sur l'importation d'un package TUAM Cognos, voir le guide IBM Cognos 8 Administration and Security Guide 8.4.1. Résultats Le package de rapports TUAM Cognos est importé et les rapports TUAM Cognos sont disponibles. Créer la connexion de source de données dans Cognos Cette rubrique explique comment créer la connexion de source de données. Avant de commencer Cognos utilise les clients de base de données installés sur la machine sur laquelle Cognos a été installé pour se connecter à la base de données appropriée. Par exemple, pour vous connecter à une base de données DB2, SQLServer ou Oracle, vous devez vous assurer que le client de base de données approprié est installé et que les détails de la base de données utilisée ont été configurés. De même, pour DB2 et Oracle, certaines variables d'environnement peuvent nécessiter une configuration. Vous trouverez plus d'informations sur la base de données 38 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation appropriée dans la section de connexion de base de données du centre de documentation Tivoli Common Reporting 2.1. Pourquoi et quand exécuter cette tâche Cette tâche vous permet de créer une connexion de base de données pour une utilisation destinée aux rapports Cognos. Procédure 1. Une fois Tivoli Common Reporting 2.1 installé, accédez au panneau Common Reporting et sélectionnez Launch (Lancer) > Administration. 2. Sélectionnez l'onglet Configuration et assurez-vous que Data Source Connection (Connexion de source de données) est sélectionné sur le panneau du menu à gauche. . 3. Ajoutez une nouvelle source de données en cliquant sur 4. Entrez TUAM SCHEMA dans la zone de nom. La description et l'infobulle peuvent être complétées si nécessaire, mais elles ne sont pas obligatoires. 5. Cliquez sur Suivant et sélectionnez le type de base de données que vous utilisez, par exemple DB2, et cliquez sur Suivant. 6. Pour le type de base de données que vous avez sélectionné dans l'étape précédente, entrez l'alias de la base de données tel qu'il est configuré dans le client de base de données. 7. Entrez les détails Connexion pour la base de données, dont le mot de passe. Remarque : La connexion utilisée lors de la configuration de la source de données Cognos doit utiliser les mêmes détails de compte de connexion que ceux utilisés pour initialiser le schéma TUAM. 8. Il vous est recommandé de tester la connexion à l'aide du lien Tester la connexion... en bas de l'écran. 9. Si le test réussit, cliquez sur Terminer. Résultats Vous avez créé une connexion de base de données pour une utilisation destinée aux rapports Cognos. Configuration de Tivoli Integrated Portal 2.1 Un fois Tivoli Integrated Portal installé, vous pouvez le configurer pour qu'il fonctionne de différentes façons ; vous pouvez par exemple utiliser un référentiel d'utilisateurs centralisé. Registre d'utilisateurs central Après l'installation, vous pouvez configurer un registre d'utilisateurs central pour la gestion et l'authentification des utilisateurs. Vous pouvez configurer un serveur LDAP ou un registre Tivoli Netcool/OMNIbus ObjectServer (ou les deux). Remarque : Lorsque vous ajoutez un utilisateur, vérifiez que l'identificateur utilisateur indiqué n'existe pas dans l'un des référentiels d'utilisateurs existants, afin d'éviter tout problème lors de la tentative de connexion de l'utilisateur. Dans un environnement réseau qui inclut un registre d'utilisateurs sur un serveur LDAP ou Tivoli Netcool/OMNIbus ObjectServer, vous pouvez configurer Tivoli Configuration après installation 39 Usage and Accounting Manager pour utiliser l'un ou l'autre type ou les deux. Dans la pratique, les fonctions suivantes exigent un registre d'utilisateurs central : v L'équilibrage de charge, qui nécessite que chaque instance de serveur Tivoli Usage and Accounting Manager du cluster utilise le même référentiel d'utilisateurs central, qu'il s'agisse d'un serveur LDAP ou d'un ObjectServer. v La connexion unique, qui authentifie les utilisateurs au niveau du référentiel central lors de leur connexion et chaque fois qu'ils accèdent à d'autres applications Tivoli autorisées. Avant de configurer un registre d'utilisateurs, vérifiez que le ou les registres d'utilisateurs que vous envisagez d'identifier sont démarrés et accessibles à partir de l'ordinateur sur lequel vous avez installé Tivoli Usage and Accounting Manager. Avertissement : Lorsque Tivoli Usage and Accounting Manager est configuré avec plusieurs référentiels d'utilisateurs centraliése, vous ne pouvez pas vous connecter si l'un des référentiels d'utilisateurs distant inaccessible à partir de Tivoli Usage and Accounting Manager, même si l'identificateur utilisateur existe dans l'un des autres référentiels. Si vous devez vous connecter dans ce type de situation, vous devez exécuter les commandes WebSphere Application Server afin d'autoriser l'accès lorsque tous les référentiels sont disponibles, ou les référentiels fédérés ne fonctionneront pas correctement. Pour plus d'informations, consultez les liens suivants : v http://www-01.ibm.com/support/docview.wss?uid=swg1PK78677 v http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/ com.ibm.websphere.web20fep.multiplatform.doc/info/ae/ae/ rxml_atidmgrrealmconfig.html Ajout d'un référentiel LDAP externe Après l'installation, vous pouvez ajouter un serveur IBM Tivoli Directory Server ou un serveur Microsoft Active Directory comme référentiel LDAP pour Tivoli Usage and Accounting Manager. Pourquoi et quand exécuter cette tâche Pour ajouter un nouveau référentiel LDAP : Procédure 1. Connectez-vous à Tivoli Usage and Accounting Manager. 2. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. 3. Dans la console d'administration WebSphere Application Server sélectionnez Paramètres > Global security (sécurité globale). 4. Dans la liste Available realm definitions (Définitions de domaines disponibles), sélectionnez Federated repositories (Référentiels fédérés) et cliquez sur Configurer. 5. Dans la zone Related Items (Articles liés), cliquez sur Manage repositories (Gestion des référentiels) puis sur Ajouter pour ajouter un nouveau référentiel LDAP. 6. Dans la zone Repository identifier (identificateur de référentiel), spécifiez un identificateur unique pour le référentiel. L'identificateur identifie de façon unique le référentiel dans la cellule, par exemple, LDAP1. 40 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation 7. Dans la liste Directory type (Type d'annuaire), sélectionnez le type de serveur LDAP. Le type de serveur LDAP détermine les filtres par défaut utilisés par WebSphere Application Server. Remarque : Les utilisateurs de IBM Tivoli Directory Server peuvent choisir soit IBM Tivoli Directory Server soit SecureWay comme type d'annuaire. Pour de meilleures performances, utilisez le type d'annuaire IBM Tivoli Directory Server. 8. Dans la zone Primary host name (nom d'hôte principal), entrez le nom de système hôte qualifié complet du serveur LDAP principal. Le nom de l'hôte principal et le nom distinctif ne doivent comporter aucun espace. Vous pouvez entrer l'adresse IP ou le nom DNS (Domain Name System). 9. Dans la zone Port, entrez le port de serveur de l'annuaire LDAP. Le nom d'hôte et le numéro de port représentent le domaine pour ce serveur LDAP dans une cellule dont les noeuds sont de versions différentes. Si des serveurs dans différentes cellules communiquent les uns avec les autres en utilisant des jetons LTPA (Lightweight Third Party Authentication), ces domaines doivent correspondre exactement dans toutes les cellules. Remarque : La valeur du port par défaut est 389, ce qui n'est pas un port de connexion SSL (Secure Sockets Layer). Utilisez le port 636 pour une connexion SSL. Sur certains serveurs LDAP, vous pouvez spécifier un port différent. Si vous ne savez pas quel port utiliser, contactez votre administrateur de serveur LDAP. 10. Facultatif : Dans les zones Bind distinguished name (nom distinctif de liaison) et Bind password (mot de passe de liaison), entrez le nom distinctif de liaison (DN) (par exemple, cn=root) et le mot de passe. Remarque : Le nom distinctif de liaison est nécessaire pour les opérations d'écriture ou pour obtenir les informations d'utilisateur ou de groupe si les liaisons anonymes ne sont pas possibles sur le serveur LDAP. Dans la plupart des cas, un nom distinctif de liaison et un mot de passe de liaison sont nécessaires, sauf lorsqu'une liaison anonyme peut satisfaire toutes les fonctions requises. Si le serveur LDAP est configuré pour utiliser les liaisons anonymes, laissez ces zones vides. 11. Facultatif : Dans la zone Login properties (Propriétés de connexion), entrez les noms de propriété utilisés pour la connexion à WebSphere Application Server. Cette zone accepte plusieurs propriétés de connexion, séparées par un point virgule (;). Par exemple, cn. 12. Facultatif : Dans la liste Certificate mapping (Mappage de certificats), sélectionnez un mode de mappage de certificat. Vous pouvez utiliser les certificats X.590 pour l'authentification utilisateur lorsque LDAP est sélectionné comme référentiel. Remarque : La zone Certificate mapping est utilisée pour indiquer si les certificats X.509 doivent être mappés dans un répertoire LDAP par EXACT_DN (nom distinctif exact) ou par CERTIFICATE_FILTER (filtre de certificat). Si vous sélectionnez EXACT_DN, le nom distinctif du certificat doit correspondre à l'entrée utilisateur du serveur LDAP, notamment la casse et les espaces. 13. Cliquez sur OK. 14. Dans la zone Messages en haut de la page Global security (Sécurité globale), cliquez sur le lien Enregistrer et quittez la console WebSphere Application Server. Configuration après installation 41 Que faire ensuite Configurez Tivoli Integrated Portal Server pour communiquer avec un référentiel LDAP externe. Tâches associées «Configuration de la connexion unique (SSO)», à la page 46 Suivez les instructions ci-après pour la prise en charge de la connexion unique et pour la configuration d'un référentiel fédéré. Gestion des utilisateurs LDAP sur la console Pour créer ou gérer sur la Console d'administration des utilisateurs qui sont définis dans votre référentiel LDAP, dans la console d'administration WebSphere Application Server, spécifiez les types d'entités pris en charge. Pourquoi et quand exécuter cette tâche Pour créer ou gérer des utilisateurs LDAP sur la Console d'administration : Procédure 1. Connectez-vous à Tivoli Usage and Accounting Manager. 2. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. 3. Dans la console d'administration WebSphere Application Server sélectionnez Paramètres > Global security (sécurité globale). 4. Dans la liste Available realm definitions (Définitions de domaines disponibles), sélectionnez Federated repositories (Référentiels fédérés) et cliquez sur Configurer. 5. Dans la zone Additional Properties (Propriétés supplémentaires), cliquez sur Supported entity types (Types d'entité pris en charge). 6. Dans la colonne Entity type (Type d'entité), cliquez sur le lien Groupe pour afficher sa page de propriétés. 7. Dans la zone Base entry for the default parent (Entrée de base pour le parent par défaut), spécifiez une entrée de base pertinente pour votre configuration LDAP par exemple, o=ibm,c=us. 8. Dans la zone Relative Distinguished Name properties (Propriétés de nom distinctif relatif), spécifiez la même valeur que pour la zone Base entry for the default parent, par exemple, o=ibm,c=us. 9. Cliquez sur OK pour revenir à la page des types d'entités pris en charge. 10. Editez les entités OrgContainer et PersonAccount en spécifiant les mêmes valeurs que pour l'entité Group (par exemple, o=ibm,c=us). 11. Dans la zone Messages en haut de la page Global security (Sécurité globale), cliquez sur le lien Enregistrer et quittez la console WebSphere Application Server. 12. Pour que les changements soient pris en compte, arrêtez et redémarrez Tivoli Integrated Portal Server. Dans un environnement à équilibrage de charge, vous devez arrêter chaque instance de Tivoli Integrated Portal Server. Résultats Vous pouvez maintenant gérer les utilisateurs du référentiel LDAP sur la Console d'administration via les options de menu Utilisateurs et groupes > Gérer les utilisateurs. 42 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Configuration d'une connexion SSL sur un serveur LDAP Si votre implémentation de Tivoli Usage and Accounting Manager utilise un référentiel d'utilisateurs LDAP externe, tel que Microsoft Active Directory, vous pouvez la configurer pour communiquer via un canal SSL sécurisé. Avant de commencer Cette tâche suppose qu'une connexion vers un serveur LDAP a déjà été configurée. Votre serveur LDAP (par exemple, un serveur IBM Tivoli Directory Server Version 6 ou Microsoft Active Directory) doit être configuré pour accepter les connexions SSL et être exécuté sur un numéro de port sécurisé (636). Consultez la documentation de votre serveur LDAP si vous devez créer un certificat de signataire qui, dans le cadre de cette tâche, doit être importé depuis votre serveur LDAP dans le fichier de clés certifiées de Tivoli Integrated Portal Server. Pourquoi et quand exécuter cette tâche Procédez comme suit pour configurer Tivoli Integrated Portal Server afin qu'il communique via un canal sécurisé (SSL) avec un référentiel LDAP externe. Toutes les instances de serveur d'applications doivent être configurées pour le serveur LDAP. Procédure 1. Connectez-vous à la Console d'administration. 2. Procédez comme suit pour importer le certificat de signataire de votre serveur LDAP dans le fichier de clés certifiées du serveur d'applications. a. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. b. Dans le panneau de navigation de la console d'administration WebSphere Application Server, cliquez sur Security (Sécurité) > SSL certificate and key management (Certificat SSL et gestion des clés). c. Dans la zone Related Items (Articles liés), cliquez sur le lien Key stores and certificates (Fichiers de clés et certificats) et dans le tableau, cliquez sur le lien NodeDefaultTrustStore. d. Dans la zone Additional Properties (Propriétés supplémentaires), cliquez sur le lien Signer certificates (Certificats de signataires) puis sur le bouton Retrieve from port (Extraire depuis le port). e. Dans les zones concernées, indiquez le nom d'hôte, le port (généralement 636 pour les connexions SSL), les détails de configuration SSL et l'alias du certificat pour votre serveur LDAP et cliquez sur le bouton Retrieve signer information (Extraire certificats de signataires) puis sur OK. 3. Procédez comme suit pour activer les communications SSL sur votre serveur LDAP : a. Dans le panneau de navigation, cliquez sur Security (Securité) > Secure administration, application, and infrastructure (Administration, applications et infrastructure sécurisées). b. Sélectionnez Federated repositories (Référentiels fédérés) dans la liste Available realm definitions (Définitions de domaines disponibles) puis cliquez sur Configure (Configurer). c. Sélectionnez votre serveur LDAP dans la liste déroulante Repository (Référentiel). Configuration après installation 43 d. Cochez la case Require SSL communications (Communications SSL requises) et sélectionnez l'option Centrally managed (Géré de manière centrale). e. Cliquez sur OK. 4. Pour que les modifications soient prises en compte, enregistrez celles-ci puis arrêtez et redémarrez toutes les instances de Tivoli Integrated Portal Server. Que faire ensuite Si vous souhaitez activer la fonction de connexion unique de sorte que les utilisateurs n'aient à se connecter qu'une seule fois et puissent ensuite passer sur d'autres applications sans devoir s'authentifier à nouveau, configurez cette fonction. Configuration d'une connexion SSL au serveur d'objets Pour les environnements intégrant un registre d'utilisateurs Tivoli Netcool/OMNIbus ObjectServer, vous devez configurer des communications chiffrées sur le Tivoli Integrated Portal Server. Pourquoi et quand exécuter cette tâche Suivez les étapes ci-après pour configurer un canal sécurisé pour les communications entre le Tivoli Integrated Portal Server et le serveur ObjectServer. Procédure 1. Récupérez les informations de certificat ObjectServer, comme suit : a. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. b. Dans le panneau de navigation de la console d'administration WebSphere Application Server, cliquez sur Security (Sécurité) > SSL certificate and key management (Certificat SSL et gestion des clés). c. Sur la page SSL certificate and key management (Certificat SSL et gestion de clés), cliquez sur Key stores and certificates (Fichiers de clés et certificats) et, sur la page affichée, cliquez sur NodeDefaultTrustStore. d. Sur la page NodeDefaultTrustStore page, cliquez sur Signer certificates (Certificats de signataires) et, sur la page qui s'affiche, cliquez sur Retrieve from port (Extraire depuis le port). e. Dans les zones correspondantes, entrez les valeurs d'Hôte, de Port et d'Alias pour le serveur ObjectServer et cliquez sur Retrieve signer information (Extraire les informations de signataire. Les informations de signataires sont extraites et stockées. A des fins de référence, les détails suivants sont affichés lorsque les informations de signataire sont extraites : Numéro de série Indique le numéro de série du certificat, généré par l'émetteur de ce dernier. Emis à Indique le nom distinctif de l'entité à laquelle le certificat a été émis. 44 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Emis par Indique le nom distinctif de l'entité qui a émis le certificat. Il s'agit du même nom que le nom distinctif émis à si le certificat est auto-signé. (Empreinte digitale (SHA digest) Indique l'algorithme de hachage sécurisé (hachage SHA) du certificat, pouvant être utilisé pour vérifier le hachage du certificat sur un autre site, comme le côté client de la connexion. Période de validité Indique la date d'expiration du certificat de signataire extrait à des fins de validation. 2. Ouvrez le fichier rép_base_tip/profiles/TIPProfile/etc/ com.sybase.jdbc3.SybDriver.props dans un éditeur de texte et changez les paramètres suivants : a. Activation de la couche SSL pour l'hôte ObjectServer principal : USESSLPRIMARY=TRUE b. Activation de la couche SSL pour l'hôte ObjectServer de sauvegarde : USESSLBACKUP=TRUE 3. Arrêtez et redémarrez le serveur d'applications. Pour plus d'informations sur l'arrêt et le démarrage du serveur d'applications, voir le concept associé Arrêt et démarrage du serveur d'applications. Connexion unique La fonction de connexion unique (SSO) des produits Tivoli vous permet de vous connecter à une application Tivoli puis d'accéder à d'autres applications Web Tivoli ou compatibles Web sans qu'une nouvelle soumission de vos données d'identification utilisateur soit nécessaire. Le référentiel pour les ID utilisateur peut être le registre Tivoli Netcool/OMNIbus ObjectServer ou un registre LDAP (Lightweight Directory Access Protocol) (LDAP). L'utilisateur se connecte à l'une des applications participantes et à ce moment-là, ses données d'identification sont authentifiées au niveau d'un référentiel central. Une fois ces données authentifiées en un point centralisé, l'utilisateur peut passer d'une application à une autre pour visualiser les données connexes ou exécuter des actions. La connexion unique est possible entre applications déployées vers des serveurs Tivoli Integrated Portal sur plusieurs machines. La fonction SSO exige que les produits impliqués utilisent le protocole LTPA (Lightweight Third Party Authentication) (LTPA) comme mécanisme d'authentification. Une fois cette fonction activée, un cookie contenant le jeton LTPA est créé et inséré dans la réponse HTTP. Lorsque l'utilisateur accède à d'autres ressources Web (portlets) dans tout autre processus du serveur d'applications relevant du même domaine du système de nom de domaine (DNS Domain Name Service), le cookie est envoyé avec la demande. Le jeton LTPA est alors extrait du cookie puis validé. Si la demande apparaît dans différentes cellules de serveurs d'applications, vous devez partager les clés LTPA et le registre d'utilisateurs entre ces cellules pour que la fonction SSO s'exécute. Les noms de domaine sur chaque système dans le domaine SSO sont sensibles à la casse et doivent correspondre exactement. Reportez-vous au centre de documentation de WebSphere Application Server, à la rubrique Gestion des clés LTPA à partir de plusieurs cellules WebSphere Application Server. Configuration après installation 45 Configuration de la connexion unique (SSO) Suivez les instructions ci-après pour la prise en charge de la connexion unique et pour la configuration d'un référentiel fédéré. Avant de commencer La configuration de la connexion unique est nécessaire avant intégration de produits déployés sur plusieurs serveurs. Toutes les instances du Tivoli Integrated Portal Server doivent pointer sur le registre d'utilisateurs central (serveur LDAP (Lightweight Directory Access Protocol), par exemple). Avertissement : La prise en charge d'ITM Single Sign On (SSO) est uniquement disponible avec ITM Version 6.2 Fix Pack 1 ou supérieur. Pourquoi et quand exécuter cette tâche Pour configurer les fonctionnalités du référentiel fédéré WebSphere pour le serveur LDAP : Procédure 1. Connectez-vous à la Tivoli Integrated Portal. 2. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. 3. Dans le panneau de navigation de la console d'administration WebSphere Application Server, cliquez sur Security (Sécurité) > Global security (Sécurité globale). 4. Dans la zone Authentification, développez Web Security (Sécurité Web) et cliquez sur Single sign-on (Connexion unique). 5. Si la connexion unique est désactivée, cliquez sur l'option Activée. 6. S'il est prévu que toutes les demandes utilisent HTTPS, cliquez sur Requires SSL (Nécessite SSL). 7. Dans la zone Nom de domaine, entrez les noms qualifiés complets des domaines pour lesquels la connexion unique est effective. Si le nom de domaine n'est pas qualifié complet, Tivoli Integrated Portal Server ne définit pas de valeur de nom de domaine pour le cookie LtpaToken et la connexion unique n'est valide que pour le serveur qui a créé le cookie. Pour que la connexion unique fonctionne entre différentes applications Tivoli, les serveurs de ces applications doivent être installés dans le même domaine (utilisez le même nom de domaine). 8. Facultatif : Activez l'option Interoperability Mode (Mode d'interopérabilité) si vous souhaitez que les connexions uniques aux versions 5.2.1 et supérieures de WebSphere Application Server interopèrent avec les précédentes versions du serveur. 9. Facultatif : Activez l'option Web inbound security attribute (Propagation de l'attribut de sécurité des communications entrantes Web) si vous voulez que les informations ajoutées lors de la connexion à un serveur Tivoli Enterprise Portal donné se propagent vers d'autres instances serveur d'applications. 10. Cliquez sur OK pour enregistrer vos modifications, puis arrêtez et redémarrez toutes les instances Tivoli Integrated Portal Server. 46 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Que faire ensuite Remarque : Lorsque vous lancez Tivoli Usage and Accounting Manager, vous devez utiliser une adresse URL au format protocole://hôte.domaine:port /*. Si vous n'utilisez pas de nom de domaine qualifié complet, Tivoli Usage and Accounting Manager ne peut pas utiliser la connexion unique entre les produits Tivoli. Protection du fichier de clés du coffre Afin que la clé de chiffrement du mot de passe administrateur reste sûre, faites en sorte que le fichier de clés du coffre soit strictement limité aux accès en lecture seule. Avant de commencer Pour que les applications Tivoli Integrated Portal s'exécutent correctement, l'ID administrateur Tivoli Integrated Portal créé lors de l'installation (ID par défaut = tipadmin) doit pouvoir accéder au fichier de clés du coffre. Pourquoi et quand exécuter cette tâche La clé du coffre est une clé qui est utilisée pour chiffrer le mot de passe administrateur indiqué lors de l'installation et qui est stockée en local pour les applications Tivoli Integrated Portal. Suivez les étapes ci-après pour restreindre les accès au fichier. Procédure 1. Sur l'ordinateur hébergeant le serveur d'applications, ouvrez le répertoire rép_install/désinst_/TIPInstall22. 2. Utilisez la méthode mise à disposition par votre système d'exploitation pour vous assurer que le fichier .vault.key n'est accessible qu'en lecture seule. Exemple Sous Windows, par exemple, les attributs d'accès pour le répertoire TIPInstall22 sont déjà définis en lecture seule, cependant les attributs associés au fichier .vault.key sont définis sur lecture seule et masqué. Configuration de l'accès HTTP et HTTPS Par défaut, serveur d'applications nécessite l'accès HTTPS (Hypertext Transfer Protocol Secure). Si vous voulez que certains utilisateurs puissent se connecter à la console et l'utiliser sans chiffrement ni transfert de données - ce qui inclut l'ID utilisateur et le mot de passe -, configurez l'environnement de façon à assurer la prise en charge conjointe des deux modes HTTP et HTTPS. Avant de commencer Après installation de Tivoli Usage and Accounting Manager et avant d'entreprendre la présente procédure, connectez-vous à la Console d'administration afin de vous assurer de la connectivité et des bonnes conditions de démarrage. Configuration après installation 47 Pourquoi et quand exécuter cette tâche La configuration des accès HTTP et HTTPS à la console implique l'édition du fichier de composants Web web.xml. Pour identifier et éditer les fichiers web.xml appropriés, procédez comme suit : Procédure 1. Accédez au répertoire suivant : rép_base_tip/profiles/TIPProfile/config/ cells/TIPCell/applications. 2. A partir de cet emplacement, recherchez les fichiers web.xml dans les répertoires suivants : v Pour l'archive d'application Web de Integrated Solutions Console : isclite.ear/deployments/isclite/isclite.war/WEB-INF v Pour Tivoli Common Reporting : tcr.ear/deployments/tcr/ rptviewer_v1.2.0.war/WEB-INF v Pour l'archive d'application Web de Tivoli Common Reporting : isclite.ear/deployments/isclite/rptwebui_v1.2.0.war/WEB-INF v Pour l'archive d'application Web Tivoli Integrated Portal Charts Web : isclite.ear/deployments/isclite/TIPChartPortlet.war/WEB-INF v Pour l'archive d'application Web Tivoli Integrated Portal Change Password : isclite.ear/deployments/isclite/TIPChangePasswd.war/WEB-INF 3. Ouvrez l'un des fichiers web.xml à l'aide d'un éditeur de texte. 4. Recherchez l'élément <transport-guarantee>. La valeur initiale de tous les éléments <transport-guarantee> est CONFIDENTIAL, ce qui signifie qu'un accès sécurisé est toujours nécessaire. 5. Passez le paramétrage à NONE afin d'autoriser à la fois les demandes HTTP et HTTPS. L'élément doit maintenant se présenter comme suit : <transport-guarantee>NONE</transport-guarantee>. 6. Sauvegardez le fichier, et répétez ces étapes pour les autres fichiers de déploiement web.xml. 7. Arrêtez et redémarrez serveur d'applications. Exemple L'exemple suivant présente une section du fichier web.xml pour TIPChangePasswd où le paramètre transport-guarantee est défini sur NONE: <security-constraint> <display-name> ChangePasswdControllerServletConstraint</display-name> <web-resource-collection> <web-resource-name>ChangePasswdControllerServlet</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <auth-constraint> <description>Roles</description> <role-name>administrator</role-name> <role-name>operator</role-name> <role-name>configurator</role-name> <role-name>monitor</role-name> <role-name>iscadmins</role-name> </auth-constraint> <user-data-constraint> <transport-guarantee>NONE</transport-guarantee> </user-data-constraint> </security-constraint> 48 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Que faire ensuite Les utilisateurs doivent maintenant spécifier un port différent, en fonction du mode d'accès. Les numéros de port par défaut sont les suivants : http://<nom_hôte>:16310/ibm/console Utilisez le port HTTP pour vous connecter à Tivoli Integrated Portal sur le port HTTP. https://<nom_hôte>:16311/ibm/console Utilisez le port sécurisé HTTPS pour vous connecter à Tivoli Integrated Portal. Remarque : Si vous souhaitez utiliser une connexion unique (SSO), vous devez utiliser le nom de domaine qualifié complet de l'hôte Tivoli Integrated Portal. Activation de FIPS Vous pouvez configurer Tivoli Integrated Portal Server pour utiliser les fichiers Federal Information Processing Standard Java Secure Socket Extension. Pourquoi et quand exécuter cette tâche Suivez les étapes ci-après pour activer la norme FIPS 140–2 sur Tivoli Integrated Portal Server. Procédure 1. Configurez le serveur d'applications pour l'utilisation de la norme FIPS. a. Connectez-vous à Tivoli Usage and Accounting Manager. b. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. c. Dans le panneau de navigation de la console d'administration WebSphere Application Server, cliquez sur Security (Sécurité) > SSL certificate and key management (Certificat SSL et gestion des clés). d. Sélectionnez l'option Utiliser les algorithmes de la norme FIPS (Federal Information Processing Standard) puis cliquez sur Appliquer. Avec cette option, IBMJSSE2 et IBMJCEFIPS sont les fournisseurs actifs. 2. Configurez le serveur d'applications de façon à utiliser les algorithmes FIPS pour les clients Java devant accéder aux beans enterprise : a. Ouvrez le fichier rép_base_tip/profiles/TIPProfile/properties/ ssl.client.props dans un éditeur de texte. b. Pour la propriété com.ibm.security.useFIPS, remplacez la valeur false par la valeur true. 3. Configurez le serveur d'applications de façon à utiliser les algorithmes FIPS pour les clients d'administration basés SOAP devant accéder aux beans enterprise : a. Ouvrez le fichier rép_base_tip/profiles/TIPProfile/properties/ soap.client.props dans un éditeur de texte. b. Ajoutez la ligne suivante : com.ibm.ssl.contextProvider=IBMJSSEFIPS. 4. Configurez le fichier java.security afin d'activer IBMJCEFIPS : a. Ouvrez le fichier rép_base_tip/java/jre/lib/security/java.security dans un éditeur de texte. Configuration après installation 49 b. Insérez le fournisseur IBMJCEFIPS (com.ibm.crypto.fips.provider.IBMJCEFIPS) devant le fournisseur IBMJCE et renumérotez les autres fournisseurs dans la liste de fournisseurs. Le fournisseur IBMJCEFIPS doit apparaître dans la liste de fournisseurs du fichier java.security. Reportez-vous à l'exemple en fin de rubrique. 5. Configurez votre navigateur pour qu'il utilise protocole TLS (Transport Layer Security) (TLS) 1.0 : a. Microsoft Internet Explorer : lancez le navigateur et cliquez sur Outils > Options Internet. Dans l'onglet Avancés, sélectionnez l'option TLS 1.0. b. Firefox : TLS 1.0 est activé par défaut. 6. Exportez les clés LTPA (Lightweight Third Party Authentication) afin que les applications utilisant ces clés puissent être reconfigurées. a. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. b. Dans la console d'administration WebSphere Application Server sélectionnez Paramètres > Global security (sécurité globale). c. Dans la zone Authentification de la page Global security, cliquez sur le lien LTPA. d. Sous Ouverture d'une session intercellulaire, indiquez un fichier de clés, ainsi qu'un nom et un mot de passe pour le fichier qui contiendra les clés LTPA exportées. e. Cliquez sur Export keys. Par défaut, le fichier d'exportation est sauvegardé dans rép_base_tip/profiles/TIPProfile/ 7. Reconfigurez toute application utilisant les clés LTPA du Tivoli Integrated Portal Server LTPA : pour reconfigurer le service de connexion unique Tivoli avec les clés LTPA mises à jour, exécutez le script suivant : rép_base_tiprép_installTIPProfile\profiles\TIPProfile\bin\ setAuthnSvcLTPAKeys.jacl. a. Accédez au répertoire rép_base_tip/profiles/TIPProfile/bin/ b. Démarrez le Tivoli Integrated Portal Server : v startServer.bat serveur1 v startServer.sh serveur1 c. Exécutez la commande suivante : wsadmin -username tipadmin -password mdp_tipadmin -f setAuthnSvcLTPAKeys.jacl chemin_clés_exportées mdp_clés Où : chemin_clés_exportées désigne le nom et le chemin d'accès complet du fichier de clés exporté. mdp_clés désigne le mot de passe utilisé pour exporter la clé. 8. Pour la connexion unique, activez la norme FIPS pour toute autre instance serveur d'applications, puis importez les clés LTPA mises à jour depuis le premier serveur vers chacun des autres serveurs : a. Copiez le fichier de clés LTPA configuré à l'étape 6 vers un autre ordinateur du serveur d'applications. b. Dans le panneau de navigation, cliquez sur Paramètres > Console d'administration Websphere et sur Lancer la console d'administration Websphere. c. Dans la console d'administration WebSphere Application Server sélectionnez Paramètres > Global security (sécurité globale). 50 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation d. Dans la zone Authentification de la page Global security, cliquez sur le lien LTPA. e. Sous Ouverture d'une session intercellulaire, indiquez le nom et le mot de passe précédemment définis pour le fichier contenant les clés LTPA exportées . f. Cliquez sur Import keys. 9. Exécutez la commande ConfigureCLI : rép_base_tip\bin\tipcli.bat ConfigureCLI --useFIPS true rép_base_tip/bin/tipcli.sh ConfigureCLI --useFIPS true Exemple Le fichier IBM SDK rép_base_tip/java/jre/lib/security/java.security se présente comme suit lorsque IBMJCEFIPS est activé. security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS security.provider.2=com.ibm.crypto.provider.IBMJCE security.provider.3=com.ibm.jsse.IBMJSSEProvider security.provider.4=com.ibm.jsse2.IBMJSSEProvider2 security.provider.5=com.ibm.security.jgss.IBMJGSSProvider security.provider.6=com.ibm.security.cert.IBMCertPath security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11 security.provider.8=com.ibm.security.cmskeystore.CMSProvider security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO Référence associée Prise en charge FIPS Les normes FIPS (Federal Information Processing Standards) sont publiées par le NIST (National Institute of Standards and Technology) des Etats-Unis pour les systèmes informatiques du gouvernement fédéral. Configuration de la valeur du délai d'attente pour le jeton LPTA Vous pouvez configurer la valeur du délai d'attente pour le jeton LTPA (Lightweight Third Party Authentication) (LTPA) pour Tivoli Integrated Portal sur la console WebSphere Application Server. Avant de commencer Tivoli Integrated Portal est activé pour la connexion unique. Pourquoi et quand exécuter cette tâche Le délai d'attente par défaut pour un jeton LTPA est de 120 minutes. Un dépassement du délai d'attente LTPA a pour effet de vous déconnecter de Tivoli Integrated Portal et peut également afficher un message d'authentification si la première requête après le dépassement du délai d'attente est une requête AJAX provenant d'un portlet. Pour configurer le délai d'attente du jeton LTPA : Procédure 1. Dans le panneau de navigation Tivoli Integrated Portal cliquez sur Paramètres > Console d'administration WebSphere. 2. Cliquez sur Lancer la Console d'administration WebSphere pour démarrer la console WebSphere Application Server. Configuration après installation 51 3. Dans le panneau de navigation WebSphere Application Server, cliquez sur Security > Global security. 4. Dans la zone Authentification de la page Global security, cliquez sur le lien LTPA. 5. Dans la zone du délai d'attente LTPA de la page LTPA, éditez la valeur du délai d'attente LTPA et cliquez sur OK. 6. Dans la zone Messages en haut de la page Global security (Sécurité globale), cliquez sur le lien Enregistrer et quittez la console WebSphere Application Server. Que faire ensuite Dans un environnement à équilibrage de charge, vous devez définir la valeur du délai d'attente du jeton LTPA sur chaque instance de Tivoli Integrated Portal Server. 52 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents d'annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial IBM. Toute référence à un produit, logiciel ou service IBM n'implique pas que seul ce produit, logiciel ou service puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s'il n'enfreint aucun droit d'IBM. Il est de la responsabilité de l'utilisateur d'évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM. IBM peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le présent document. La remise de ce document ne vous accorde aucun droit de licence sur ces brevets. Si vous désirez recevoir des informations concernant l'acquisition de licences, veuillez en faire la demande par écrit à l'adresse suivante : IBM Director of Licensing IBM Corporation North Castle Drive Armonk, NY 10504-1785 U.S.A. Pour le Canada, veuillez adresser votre courrier à : IBM Director of Commercial Relations IBM Canada Ltd. 3600 Steeles Avenue East Markham, Ontario L3R 9Z7 Canada Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l'adresse suivante : IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106-0032, Japan Le paragraphe suivant ne s'applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales : LE PRESENT DOCUMENT EST LIVRE EN L'ETAT SANS AUCUNE GARANTIE EXPLICITE OU IMPLICITE. IBM DECLINE NOTAMMENT TOUTE RESPONSABILITE RELATIVE A CES INFORMATIONS EN CAS DE CONTREFACON AINSI QU'EN CAS DE DEFAUT D'APTITUDE A L'EXECUTION D'UN TRAVAIL DONNE. Certaines juridictions n'autorisent pas l'exclusion des garanties implicites, auquel cas l'exclusion ci-dessus ne vous sera pas applicable. Le présent document peut contenir des inexactitudes ou des coquilles. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut, à tout moment et sans préavis, modifier les produits et logiciels décrits dans ce document. © Copyright IBM Corp. 2006, 2011 53 Les références à des sites Web non IBM sont fournies à titre d'information uniquement et n'impliquent en aucun cas une adhésion aux données qu'ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l'utilisation de ces sites relève de votre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu'elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Les licenciés souhaitant obtenir des informations permettant : (i) l'échange des données entre des logiciels créés de façon indépendante et d'autres logiciels (dont celui-ci), et (ii) l'utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à : IBM Corporation Software Interoperability Coordinator, Department 49XA 3605 Highway 52 N Rochester, MN 55901 U.S.A. Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d'une redevance. Le logiciel sous licence décrit dans cette documentation et tous les éléments sous licence disponibles s'y rapportant sont fournis par IBM conformément aux dispositions de l'ICA, des Conditions internationales d'utilisation des logiciels IBM ou de tout autre accord équivalent. Les données de performances indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l'environnement d'exploitation utilisé. Certaines informations évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d'extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d'exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l'intermédiaire d'annonces publiques ou via d'autres sources disponibles. IBM n'a pas testé ces produits et ne peut confirmer l'exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits. Toute instruction relative aux intentions d'IBM pour ses opérations à venir est susceptible d'être modifiée ou annulée sans préavis, et doit être considérée uniquement comme un objectif. Tous les tarifs indiqués sont les prix de vente actuels suggérés par IBM et sont susceptibles d'être modifiés sans préavis. Les tarifs appliqués peuvent varier selon les revendeurs. Ces informations sont fournies uniquement à titre de planification. Elles sont susceptibles d'être modifiées avant la mise à disposition des produits décrits. 54 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Le présent document peut contenir des exemples de données et de rapports utilisés couramment dans l'environnement professionnel. Ces exemples mentionnent des noms fictifs de personnes, de sociétés, de marques ou de produits à des fins illustratives ou explicatives uniquement. Toute ressemblance avec des noms de personnes, de sociétés ou des données réelles serait purement fortuite. LICENCE DE COPYRIGHT : Le présent logiciel contient des exemples de programmes d'application en langage source, destinés à illustrer les techniques de programmation sur différentes plateformes d'exploitation. Vous avez le droit de copier, de modifier et de distribuer ces exemples de programmes sous quelque forme que ce soit et sans paiement d'aucune redevance à IBM, à des fins de développement, d'utilisation, de vente ou de distribution de programmes d'application conformes aux interfaces de programmation des plateformes pour lesquels ils ont été écrits ou aux interfaces de programmation IBM. Ces exemples de programmes n'ont pas été rigoureusement testés dans toutes les conditions. Par conséquent, IBM ne peut garantir expressément ou implicitement la fiabilité, la maintenabilité ou le fonctionnement de ces programmes. Toute copie totale ou partielle de ces programmes exemples et des oeuvres qui en sont dérivées doit comprendre une notice de copyright, libellée comme suit : (nom de votre entreprise) (année). Les segments de code dont dérivés des programmes exemples d'IBM Corp. © Copyright IBM Corp. _saisissez l'année ou les années_. All rights reserved. Si vous visualisez ces informations en ligne, il se peut que les photographies et illustrations en couleur n'apparaissent pas à l'écran. Remarques 55 56 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation Marques Pour l'attribution des marques, visitez le site Web d'IBM relatif aux conditions d'utilisation (http://www.ibm.com/legal/us/). © Copyright IBM Corp. 2006, 2011 57 58 IBM Tivoli Usage and Accounting Manager - Configuration du produit après l'installation