PDF-Version

IBM Tivoli
Usage and Accounting Manager
Version 7.3
Konfiguration des Produkts
nach der Installation
Hinweis
Vor Verwendung dieser Informationen und des darin beschriebenen Produkts sollten die Informationen unter
„Bemerkungen” auf Seite 51 gelesen werden.
Diese Veröffentlichung ist eine Übersetzung des Handbuchs
IBM Tivoli Usage and Accounting Manager Version 7.3, Configuration after installation,
herausgegeben von International Business Machines Corporation, USA
© Copyright International Business Machines Corporation 2006, 2011
© Copyright IBM Deutschland GmbH 2011
Informationen, die nur für bestimmte Länder Gültigkeit haben und für Deutschland, Österreich und die Schweiz
nicht zutreffen, wurden in dieser Veröffentlichung im Originaltext übernommen.
Möglicherweise sind nicht alle in dieser Übersetzung aufgeführten Produkte in Deutschland angekündigt und verfügbar; vor Entscheidungen empfiehlt sich der Kontakt mit der zuständigen IBM Geschäftsstelle.
Änderung des Textes bleibt vorbehalten.
Herausgegeben von:
TSC Germany
Kst. 2877
Juni 2011
Inhaltsverzeichnis
Tivoli Usage and Accounting Manager
7.3 nach der Installation konfigurieren
. 1
Datenbank konfigurieren . . . . . . . . . . 1
DB2 for Linux, UNIX, and Windows-Datenbank
erstellen und eine Verbindung zu dieser Datenbank herstellen . . . . . . . . . . . . 1
DB2 for z/OS-Datenbank einrichten und eine Verbindung zu dieser Datenbank herstellen . . . . 4
SQL Server-Datenbank konfigurieren und Verbindung herstellen . . . . . . . . . . . . 7
Oracle-Datenbank konfigurieren und Verbindung
herstellen . . . . . . . . . . . . . . 15
Datenbank sichern . . . . . . . . . . . 17
TUAM-Datenbankrollen und -privilegien . . . 17
Administration Console starten . . . . . . . . 18
Sicherheitszertifikat akzeptieren . . . . . . . 18
JDBC-Treiber konfigurieren . . . . . . . . . 19
JDBC-Treiber hinzufügen . . . . . . . . . 19
Usage and Accounting Manager-Datenquellen konfigurieren . . . . . . . . . . . . . . . 20
Server- oder Collector-Datenbank-Datenquelle
hinzufügen . . . . . . . . . . . . . 21
Datenquelle des Typs 'Collector - Web-Service'
hinzufügen . . . . . . . . . . . . . 24
Datenquelle des Typs 'Verbindung Collector-Server' hinzufügen . . . . . . . . . . . . 25
Datenquelle des Typs 'Sonstiges' hinzufügen . . 26
Informationen zur Initialisierung der Datenbank . . 27
Datenbank initialisieren . . . . . . . . . 27
Musterdaten in die Datenbank laden . . . . . . 27
Sicherheit - Übersicht . . . . . . . . . . .
Benutzer zu Sicherheitsgruppen hinzufügen . .
In Tivoli Usage and Accounting Manager definierte Benutzergruppen . . . . . . . . .
Cognos-basierte Tivoli Common Reporting-Sicherheit. . . . . . . . . . . . . . .
Windows-Benutzergruppe TUAMUSERS verwenden
Nach der Installation Verzeichnisse einrichten . . .
Verzeichnisberechtigungen auf einem UNIX- oder
Linux-System zuordnen . . . . . . . . .
Sicherheits- und Freigabeberechtigungen auf einem Windows-System zuordnen . . . . . .
Konfiguration von TUAM-Berichten in Tivoli Common Reporting 2.1 . . . . . . . . . . . .
TUAM Cognos-Paket in Tivoli Common Reporting importieren. . . . . . . . . . .
Datenquellenverbindung in Cognos erstellen . .
Tivoli Integrated Portal 2.1 konfigurieren . . . .
Zentrale Benutzerregistry . . . . . . . . .
Single Sign-on . . . . . . . . . . . .
Vaultschlüsseldatei schützen . . . . . . . .
Zugriff für HTTP und HTTPS konfigurieren . .
FIPS aktivieren . . . . . . . . . . . .
Zeitlimitwert für das LTPA-Token konfigurieren
28
29
30
30
32
32
34
35
35
36
36
37
37
43
44
45
46
49
Bemerkungen . . . . . . . . . . . . 51
Marken und Servicemarken . . . . . . 55
iii
iv
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Tivoli Usage and Accounting Manager 7.3 nach der Installation konfigurieren
In diesem Abschnitt werden die Konfigurationsschritte beschrieben, die vor der
Verwendung von Usage and Accounting Manager ausgeführt werden müssen.
Datenbank konfigurieren
In diesem Abschnitt werden die erforderlichen Schritte zum Konfigurieren der
DB2-, SQL Server- oder Oracle-Datenbank beschrieben, die Sie zusammen mit Usage and Accounting Manager verwenden werden.
DB2 for Linux, UNIX, and Windows-Datenbank erstellen und
eine Verbindung zu dieser Datenbank herstellen
In diesem Abschnitt wird beschrieben, wie Usage and Accounting Manager für die
Verwendung einer DB2 for Linux, UNIX, and Windows-Datenbank aktiviert wird.
Gehen Sie folgendermaßen vor, um Usage and Accounting Manager für die Verwendung einer DB2 for Linux, UNIX and Windows-Datenbank zu aktivieren:
v Erstellen Sie eine Datenbank für Usage and Accounting Manager.
v Erstellen Sie für die Usage and Accounting Manager-Datenbank einen Pufferpool
und Tabellenbereiche.
v Erstellen Sie für den Usage and Accounting Manager-Benutzer eine DB2-Benutzer-ID.
v Konfigurieren Sie Usage and Accounting Manager für den Zugriff auf die Datenbank.
DB2 for Linux, UNIX, and Windows-Datenbank erstellen
Informationen zum Erstellen einer Datenbank finden Sie in der Dokumentation zu
Ihrer DB2 for Linux, UNIX and Windows-Datenbank.
Wichtige Hinweise
v Die Datenbank muss mit einem UTF-8-Format (statt des standardmäßigen IBM1252) erstellt werden.
– Bei Erstellung einer Standarddatenbank in der DB2-Steuerzentrale wird dieser
Wert im Feld Code set (Codierter Zeichensatz) im Fenster 'Specify the locale
for this database' (Ländereinstellung für diese Datenbank angeben) angegeben.
– Bei Erstellung einer Standarddatenbank unter Verwendung von DB2-Befehlen
wird ein Befehl ähnlich dem folgenden eingegeben:
CREATE DATABASE TUAM ON ’C:’ USING CODESET UTF-8 TERRITORY US COLLATE USING SYSTEM;
–
Pufferpool und Tabellenbereiche erstellen
Nachdem Sie die Datenbank erstellt haben, müssen Sie einen Pufferpool für die
Datenbank, einen regulären Tabellenbereich (REGULAR) und Tabellenbereiche für
temporäre Benutzer- und Systemtabellen erstellen. Dadurch stellen Sie sicher, dass
ein Pufferpool mit einer ausreichenden Größe sowie die erforderlichen Tabellenbereiche für reguläre und temporäre Tabellen vorhanden sind (ein Tabellenbereich für
temporäre Tabellen wird für einige gespeicherte Prozeduren benötigt).
1
Gehen Sie wie unten beschrieben vor, um einen Pufferpool für die Datenbank, einen regulären Tabellenbereich (REGULAR) und Tabellenbereiche für temporäre Benutzer- und Systemtabellen zu erstellen. Wenden Sie sich zur Unterstützung an
den Datenbankadministrator.
Anmerkung: Um die Einschränkung auf 64 GB in DB2 zu umgehen, müssen Sie
anstatt eines regulären (REGULAR) einen großen (LARGE) Tabellenbereich erstellen. Dabei muss es sich um einen DMS-Tabellenbereich (Database-Managed Space),
nicht um einen SMS-Tabellenbereich (System-Managed Space) handeln. Weitere Informationen finden Sie im Abschnitt Create Tablespace statement in der Dokumentation zu DB2 Version 9 for Linux, UNIX, and Windows. Weitere Informationen
zum Erstellen eines Tabellenbereichs für z/OS finden Sie im Abschnitt Create Tablespace in der Dokumentation zu DB2 Version 9.1 for z/OS.
1. Navigieren Sie in der DB2-Steuerzentrale zur Usage and Accounting ManagerDatenbank und erweitern Sie sie.
2. Klicken Sie mit der rechten Maustaste auf den Ordner Pufferpools und klicken
Sie dann auf Erstellen. Daraufhin wird das Dialogfenster 'Pufferpools erstellen'
angezeigt.
3. Erstellen Sie für die Datenbank einen Pufferpool mit einer minimalen Seitengröße von 16 KB und klicken Sie dann auf OK.
4. Klicken Sie mit der rechten Maustaste auf den Ordner Tabellenbereiche und
klicken Sie dann auf Erstellen. Daraufhin wird der Assistent zum Erstellen von
Tabellenbereichen angezeigt.
5. Erstellen Sie gemäß den Anleitungen des Assistenten einen regulären Tabellenbereich (REGULAR) und wiederholen Sie dann Schritt 4, um Tabellenbereiche
für temporäre Benutzer- und Systemtabellen zu erstellen.
Wenn Sie aufgefordert werden, den Pufferpool für den regulären Tabellenbereich (REGULAR) sowie die Tabellenbereiche für temporäre Benutzer- und Systemtabellen anzugeben, wählen Sie den in Schritt 3 hinzugefügten Pufferpool
aus.
DB2 for Linux, UNIX, and Windows-Benutzeraccount für Usage
and Accounting Manager erstellen
Es gibt zwei DB2-Benutzeraccounts, die für Usage and Accounting Manager verwendet werden können: einen Benutzer mit Administratorberechtigungen, der Verwaltungstasks wie die Initialisierung der Usage and Accounting Manager-Datenbank vornehmen kann, sowie einen Laufzeitbenutzer, der alle anderen Tasks wie
das Hinzufügen, Aktualisieren und Löschen von Daten in der Datenbank durchführen kann.
Anmerkung: Dem Schema muss ein Benutzeranmeldeaccount zugeordnet sein,
über den beim Konfigurieren der Cognos-Datenquelle die Anmeldung erfolgt.
Wenn beispielsweise in DB2 die Tabellen im Schema TUAM_OWNER der Datenbank erstellt werden, muss auch der Anmeldeaccount TUAM_OWNER vorhanden
sein, mit dem die Anmeldung bei Cognos erfolgt.
So erstellen Sie einen DB2-Benutzer mit Administratorberechtigung in der DB2Steuerzentrale:
1. Erweitern Sie in der Objektbaumstruktur die Usage and Accounting ManagerDatenbank.
2. Erweitern Sie den Ordner Benutzer- und Gruppenobjekte und klicken Sie mit
der rechten Maustaste auf den Ordner Datenbankbenutzer.
3. Klicken Sie auf Hinzufügen.
Daraufhin wird das Dialogfenster Benutzer hinzufügen angezeigt.
2
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
4. Gehen Sie im Dialogfenster 'Benutzer hinzufügen' wie folgt vor:
v Auf der Registerkarte Datenbank:
a. Geben Sie im Feld Benutzer eine Benutzer-ID ein (1 bis 8 Zeichen).
b. Klicken Sie unter Wählen Sie die Berechtigungen aus, die den ausgewählten Benutzern erteilt werden sollen auf die folgenden Berechtigungen:
– Mit Datenbank verbinden
– Tabellen erstellen
– Pakete erstellen
– Im Datenbankmanagerprozess auszuführende Routinen registrieren
– Database administrator authority (Administratorberechtigung für Datenbank) Aktivieren Sie dieses Kontrollkästchen, wenn dem Benutzer
Administratorberechtigungen erteilt werden sollen; diese Berechtigungen sind für Verwaltungstasks in der Usage and Accounting ManagerDatenbank erforderlich, wie beispielsweise die Datenbankinitialisierung. Bei Aktivierung dieses Kontrollkästchens werden automatisch
auch die folgenden Kontrollkästchen aktiviert: Access to the load utility (Zugriff auf Ladedienstprogramm), Create external routines (Externe Routinen erstellen) und Connect to quiesced database (Verbindung
zur Datenbank im Quiescemodus herstellen).
– Schemata implizit erstellen
Anmerkung: Die empfohlenen Berechtigungen für Benutzerrollen sind in
„TUAM-Datenbankrollen und -privilegien” auf Seite 17 dokumentiert.
c. Klicken Sie auf Apply (Übernehmen).
v Die übrigen Registerkarten sind optional. Klicken Sie auf die Registerkarte
für den Objekttyp, für den Sie der Benutzer-ID Zugriffsrechte erteilen möchten. Sie können auf jeder beliebigen Seite ein neues Objekt hinzufügen, indem Sie auf <Objektname> hinzufügen klicken, um eine neue Zeile in der
Tabelle zu erstellen. Klicken Sie beispielsweise auf Schema hinzufügen,
wenn Sie ein Schema hinzufügen möchten. Verwenden Sie eine der folgenden Methoden, um dem Benutzer Zugriffsrechte für ein Objekt zu erteilen:
a. Klicken Sie auf die Zeile mit den Zugriffsrechten für das Objekt und klicken Sie dann auf Alle erteilen. Sie können mehrere Zeilen auswählen,
indem Sie die Steuer- oder Umschalttaste gedrückt halten.
Nach dem Klicken auf Alle erteilen wird Option zum Erteilen von Zugriffsrechten auswählen angezeigt. Um dem Benutzer nur Zugriffsrechte
zu erteilen, klicken Sie auf Erteilen nicht möglich. Wenn Sie dem Benutzer nicht nur Zugriffsrechte, sondern auch die Berechtigung zum Erteilen
des Zugriffsrechts an andere Benutzer erteilen möchten, klicken Sie auf
Erteilen möglich.
Sie können alle Benutzerzugriffsrechte für ein Objekt widerrufen, indem
Sie auf die Zeile mit den Zugriffsrechten für das Objekt und anschließend
auf Alle widerrufen klicken.
b. Klicken Sie auf Anwenden, um die Änderungen anzuwenden, oder klicken Sie auf OK, um die Änderungen anzuwenden und das Dialogfenster
zu schließen.
Nach der Installation konfigurieren
3
Zugriff auf DB2 for Linux, UNIX, and Windows-Datenbank aktivieren
Befindet sich die Datenbank auf einem anderen Server als der Usage and Accounting Manager-Anwendungsserver, müssen Sie entweder einen DB2-Client installieren, der den Zugriff auf die Datenbank ermöglicht, oder DB2 Connect auf dem Anwendungsserver installieren und eine Verbindung zum DB2-System konfigurieren.
Die DB2-Clients und DB2 Connect enthalten den DB2-JDBC-Treiber. Eine detaillierte Beschreibung der Vorgehensweise zur Installation und Konfiguration eines DB2Clients bzw. von DB2 Connect finden Sie im IBM® DB2 Information Center. Im folgenden Beispiel wird gezeigt, wie DB2 Connect mithilfe des DB2Konfigurationsassistenten in die Lage versetzt wird, eine Verbindung zur Datenbank herzustellen. Die tatsächlichen Anforderungen an Ihrem Standort können sich
von denen in diesem Beispiel unterscheiden.
Anmerkung: Wenn sich Usage and Accounting Manager und die Datenbank auf
demselben System befinden, ist DB2 Connect oder der DB2-Client nicht erforderlich.
1. Starten Sie den DB2-Konfigurationsassistenten.
v Klicken Sie in Windows auf Start > Programme > IBM DB2 > Installationsund Konfigurationstools > Konfigurationsassistent.
v Geben Sie unter Linux oder UNIX den Befehl db2ca im Konsolfenster ein.
2. Klicken Sie auf Ausgewählt > Datenbank mit Assistent hinzufügen.
Daraufhin wird der Assistent zum Hinzufügen einer Datenbank angezeigt.
3. Klicken Sie auf der Seite 'Konfiguration der Verbindung auswählen' auf Netzwerk durchsuchen und dann auf Weiter.
4. Navigieren Sie auf der Seite 'Datenbank aus dem Ergebnis der Netzwerksuche
auswählen' zu der gewünschten Datenbank und klicken Sie dann auf Weiter.
5. Geben Sie auf der Seite 'Kurznamen für die Datenbank angeben' einen Aliasnamen für die Datenbank sowie Kommentare ein (beides ist optional) und klicken Sie dann auf Weiter.
6. Wählen Sie auf der Seite 'Diese Datenbank als Datenquelle registrieren' die
Optionen Datenbank für ODBC registrieren und Als Systemdatenquelle aus
und klicken Sie dann auf Fertigstellen.
Daraufhin wird das Nachrichtenfenster 'Datenbank hinzufügen - Bestätigung' angezeigt. In diesem Fenster können Sie den Assistenten schließen, eine weitere Datenbankverbindung hinzufügen, die gerade hinzugefügte Datenbankverbindung ändern oder die Verbindung zur Datenbank testen (wird empfohlen).
Die Datenbank kann in der DB2-Steuerzentrale angezeigt werden.
DB2 for z/OS-Datenbank einrichten und eine Verbindung zu
dieser Datenbank herstellen
In diesem Abschnitt wird beschrieben, wie Usage and Accounting Manager für die
Verwendung der DB2 for z/OS-Datenbank konfiguriert wird.
So konfigurieren Sie Usage and Accounting Manager für die Verwendung einer
DB2 for z/OS-Datenbank:
v Konfigurieren Sie das z/OS DB2-System.
v Konfigurieren Sie auf dem Usage and Accounting Manager-Anwendungsserver
den DB2-Konfigurationsassistenten.
4
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
v Erstellen Sie eine DB2-Datenbank.
v Erstellen Sie für den Usage and Accounting Manager-Benutzer eine DB2-Benutzer-ID.
v Konfigurieren Sie Usage and Accounting Manager für den Zugriff auf die Datenbank.
Softwarevoraussetzungen
In diesem Abschnitt sind die Softwarevoraussetzungen für die Verwendung einer
DB2 for z/OS-Datenbank zusammen mit Usage and Accounting Manager beschrieben.
Folgende Software ist erforderlich:
v DB2 Connect
– Wenn Sie Usage and Accounting Manager Web Reporting verwenden, ist Version 9.1 erforderlich.
– Auf Computern, auf denen nicht auf Usage and Accounting Manager Web
Reporting zugegriffen wird, ist Version 8 ausreichend.
v DB2 for z/OS Version 8
z/OS- und DB2-Systeme konfigurieren
Damit Usage and Accounting Manager eine Verbindung zu der DB2 for z/OS-Datenbank herstellen kann, müssen die z/OS- und DB2-Systeme wie in diesem Abschnitt beschrieben konfiguriert werden.
1. Aktivieren Sie TCP/IP auf dem z/OS-System. Weitere Informationen finden Sie
im IBM TCP/IP for MVS: Customization and Administration Guide.
2. In DB2 for z/OS:
a. Aktivieren Sie die Unterstützung für Distributed Data Facility (DDF) und
TCP/IP.
b. Setzen Sie den Subsystemparameter DESCSTAT auf YES (falls noch nicht geschehen).
3. Führen Sie den DB2-Installationsjob DSNTIJMS aus. Dieser Job wird nach der
Installation ausgeführt und erstellt Objekte, die für die DB2 JDBC- und ODBCMetadatenmethoden erforderlich sind.
Den DB2-Konfigurationsassistenten auf dem Usage and Accounting Manager-Anwendungsserver konfigurieren
In diesem Abschnitt wird beschrieben, wie eine Verbindung zu einem DB2 for
z/OS-System hergestellt wird. Ob bereits eine Verbindung besteht, können Sie im
DB2-Konfigurationsassistenten oder in der DB2-Steuerzentrale feststellen.
1. Starten Sie den DB2-Konfigurationsassistenten.
v Klicken Sie unter Windows auf Start > Programme > IBM DB2 >
DB2COPY1 > Set-up Tools (Konfigurationstools) > Configuration Assistant (Konfigurationsassistent).
v Geben Sie unter Linux oder UNIX den Befehl db2ca im Konsolfenster ein.
2. Klicken Sie auf Ausgewählt > Datenbank mit Assistent hinzufügen.
Daraufhin wird der Assistent zum Hinzufügen einer Datenbank angezeigt.
3. Klicken Sie auf der Seite 'Konfiguration der Verbindung auswählen' auf Verbindung zu Datenbank manuell konfigurieren und dann auf Weiter.
4. Klicken Sie auf der Seite Select a communications protocol (Kommunikationsprotokoll auswählen) auf TCP/IP, aktivieren Sie das Kontrollkästchen The database physically resides on a host or OS/400 system (Datenbank befindet
Nach der Installation konfigurieren
5
sich physisch auf einem Host- oder OS/400-System) und klicken Sie auf die
entsprechende Schaltfläche, um eine Verbindung herzustellen.
5. Klicken Sie auf Weiter.
6. Geben Sie auf der Seite 'TCP/IP-Kommunikationsparameter angeben' die folgenden Informationen ein und klicken Sie dann auf Weiter:
v Hostname. Geben Sie den Hostnamen, die IP-Adresse oder den IP-Namen
des Systems ein, auf dem sich die Zieldatenbank befindet.
v Servicename. Geben Sie den Servicenamen der Server-DatenbankmanagerInstanz ein oder lassen Sie das Feld leer.
v Portnummer. Geben Sie die Portnummer für die DB2-Serverinstanz ein, auf
der sich die Zieldatenbank befindet.
Den korrekten Hostnamen (Domäne) und die korrekte Portnummer finden
Sie in der DDF-Konfiguration, die in den z/OS-Startnachrichten wie folgt
angezeigt wird:
13.17.59 STC16980
13.18.21 STC16980
611
611
611
611
611
611
DSNL003I
DSNL004I
:D81L DDF IS STARTING
:D81L DDF START COMPLETE 611
LOCATION KSCDB201
LU
USCACO01.DB2D81L
GENERICLU -NONE
DOMAIN
demomvs.db2.ibm.com
TCPPORT
446
RESPORT
5020
In diesem Beispiel ist demomvs.db2.ibm.com der Hostname und 446 die Portnummer.
7. Geben Sie auf der Seite 'Namen der Datenbank für die gewünschte Verbindung angeben' den Datenbanknamen und den Aliasnamen ein und klicken
Sie dann auf Weiter. Bei dem Datenbanknamen handelt es sich nicht um die
Datenbank in der DB2 for z/OS-Instanz. Es handelt sich um den in der DDFKonfiguration angegebenen Standortnamen. In der vorherigen Startnachricht
lautet der Datenbankname KSCDB201.
8. Übernehmen Sie auf der Seite 'Diese Datenbank als Datenquelle registrieren'
die Standardwerte und klicken Sie dann auf Weiter.
9. Klicken Sie auf der Seite 'Knotenoptionen angeben' im Feld Betriebssystem
auf OS/390 oder z/OS. Geben Sie im Feld Instanzname den Namen der Instanz ein, auf der sich die Datenbank befindet, oder lassen Sie das Feld leer.
Klicken Sie auf Weiter.
10. Geben Sie auf der Seite 'Standardvorgaben angeben' im Feld Systemname
den Systemnamen ein. Dies ist der Name des z/OS-Systems, auf dem sich die
Zieldatenbank befindet. Klicken Sie auf Weiter.
11. Klicken Sie auf der Seite 'Sicherheitsoptionen angeben' auf Den in der DBMKonfiguration des Servers angegebenen Authentifizierungswert verwenden.
Klicken Sie auf Fertigstellen.
DB2 for z/OS-Datenbank erstellen
Informationen zum Erstellen einer Datenbank finden Sie in der Dokumentation zu
Ihrer DB2 for z/OS-Datenbank.
Wichtige Hinweise
v Die Datenbank muss unter Verwendung des UNICODE-Schemas für Codeumsetzung erstellt werden.
v Der für die Tabellenbereiche in der Datenbank ausgewählte Pufferpool muss
eine Mindestgröße von 16 KB haben. Deshalb müssen Sie Pufferpool BP16K0
oder höher verwenden.
6
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
DB2 for z/OS-Benutzeraccount für Usage and Accounting Manager erstellen
In diesem Abschnitt wird beschrieben, wie ein DB2-Benutzer in der DB2-Steuerzentrale erstellt wird.
Anmerkung: Dem Schema muss ein Benutzeranmeldeaccount zugeordnet sein,
über den beim Konfigurieren der Cognos-Datenquelle die Anmeldung erfolgt.
Wenn beispielsweise in DB2 die Tabellen im Schema TUAM_OWNER der Datenbank erstellt werden, muss auch der Anmeldeaccount TUAM_OWNER vorhanden
sein, mit dem die Anmeldung bei Cognos erfolgt.
So erstellen Sie einen DB2-Benutzer mit Administratorberechtigung in der DB2Steuerzentrale:
1. Navigieren Sie in der Objektbaumstruktur der DB2-Steuerzentrale zu dem Subsystem, das die Usage and Accounting Manager-Datenbank enthält, und erweitern Sie das Subsystem.
2. Klicken Sie mit der rechten Maustaste auf den Ordner Datenbankbenutzer und
klicken Sie dann auf Erstellen. Daraufhin wird das Dialogfenster 'DB-Benutzer
erstellen' angezeigt.
3. Auf der Registerkarte Subsystem:
a. Geben Sie im Feld Benutzername eine Benutzer-ID ein (1 bis 8 Zeichen).
b. Übernehmen Sie die Standardwerte für die Subsystemberechtigungen. Wenden Sie sich zur Festlegung der erforderlichen Berechtigungen an den z/OSAdministrator. Die Benutzer-ID des Usage and Accounting Manager-Administrators muss über die Berechtigung zum Erstellen und Verwalten von
Tabellen, Ansichten und gespeicherten Prozeduren von DB2 verfügen. Die
empfohlenen Berechtigungen für Benutzerrollen sind in „TUAM-Datenbankrollen und -privilegien” auf Seite 17 dokumentiert.
c. Klicken Sie auf Anwenden, um die ID zu speichern, oder auf OK, um die
ID zu speichern und das Dialogfenster zu schließen.
Die übrigen Registerkarten im Dialogfenster 'DB-Benutzer erstellen' sind optional.
Wenden Sie sich zur Unterstützung beim Ausfüllen dieser Registerkarten an den
DB2-Administrator.
SQL Server-Datenbank konfigurieren und Verbindung herstellen
In diesem Abschnitt wird beschrieben, wie Usage and Accounting Manager für die
Verwendung einer SQL Server-Datenbank aktiviert wird.
Damit Usage and Accounting Manager auf eine SQL Server-Datenbank zugreifen
kann, müssen Sie wie folgt vorgehen:
v Erstellen Sie eine SQL Server-Datenbank.
v Erstellen Sie eine Benutzeranmeldung für die SQL Server-Datenbank.
Benutzerauthentifizierungsmodi für SQL Server 2000, 2005 und
2008
Der von Ihnen verwendbare SQL Server-Authentifizierungsmodus hängt von Ihrer
SQL Server- und IIS-Konfiguration ab.
Nach der Installation konfigurieren
7
Informationen zu den Benutzerauthentifizierungsmodi
Wenn Sie für einen Usage and Accounting Manager-Benutzer eine SQL Server-Anmeldung erstellen, gibt es zwei Authentifizierungsmöglichkeiten. Welchen Authentifizierungsmodus Sie verwenden können, ist von der jeweiligen SQL Server- und
IIS-Konfiguration abhängig.
v Windows-Authentifizierungsmodus. Bei diesem Modus kann ein Benutzer über
ein Windows-Benutzerkonto eine Verbindung herstellen.
v SQL Server-Authentifizierung. Wenn ein Benutzer sich über eine nicht vertrauenswürdige Verbindung mit einem bestimmten Anmeldenamen und dem zugehörigen Kennwort anmeldet, führt SQL Server die Authentifizierung selbst
durch, indem es überprüft, ob ein SQL Server-Anmeldekonto eingerichtet wurde
und ob das angegebene Kennwort mit dem zuvor aufgezeichneten Kennwort
übereinstimmt. Wenn in SQL Server kein entsprechendes Anmeldekonto eingerichtet ist, schlägt die Authentifizierung fehl und der Benutzer erhält eine Fehlernachricht.
Ermitteln des verwendbaren Authentifizierungsmodus
Welchen Authentifizierungsmodus Sie verwenden können, ist von der SQL Serverund IIS-Konfiguration abhängig (siehe folgende Tabelle). Beachten Sie, dass bei
Verwendung der SQL Server Reporting Services zur Berichterstellung ein durch IIS
Windows authentifizierter Zugriff für Konfigurationen empfohlen wird, in denen
ein authentifizierter Zugriff oder anonymer Zugriff für IIS verwendet werden
kann.
Tabelle 1. Voraussetzungen für IIS- und SQL Server-Benutzerauthentifizierung
IIS- und SQL Server-Konfiguration
Erforderliche IISBenutzerauthentifizierung
IIS und SQL Server befinden Authentifizierter Zugriff
sich auf demselben Server.
Usage and Accounting Mana- oder
ger Web Reporting befindet
Authentifizierter Zugriff
sich auf einer Intranet-Site.
oder
Erforderliche SQL ServerBenutzerauthentifizierung
Windows-Authentifizierung
SQL ServerAuthentifizierung
SQL ServerAuthentifizierung
Anonymer Zugriff
IIS und SQL Server befinden Authentifizierter Zugriff
sich auf separaten Servern.
Usage and Accounting Mana- oder
ger Web Reporting befindet
Anonymer Zugriff
sich auf einer Intranet-Site.
SQL ServerAuthentifizierung
IIS und SQL Server befinden Anonymer Zugriff
sich auf denselben oder separaten Servern. Usage and
Accounting Manager Web
Reporting befindet sich auf
einer Internet-Site.
SQL ServerAuthentifizierung
SQL ServerAuthentifizierung
SQL Server-Datenbank erstellen
Informationen zum Erstellen einer Datenbank finden Sie in der Dokumentation zu
Ihrer SQL Server-Datenbank.
8
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Datenbanktipps
v Erstellen Sie eine SQL Server-Datenbank, in der die Groß-/Kleinschreibung beachtet werden muss (Standardeinstellung für SQL Server). Usage and Accounting Manager unterstützt keine SQL Server-Datenbank, bei der die Groß-/
Kleinschreibung beachtet werden muss.
v Wählen Sie bei der Erstellung der Datenbank den Erfassungstyp
SQL_Latin1_General_CP1_CI_AS aus. Achten Sie darauf, dass Sie diesen und nicht
versehentlich einen anderen Erfassungstyp für die Datenbank auswählen. Usage
and Accounting Manager unterstützt derzeit keine weiteren Erfassungstypen.
Datenbankwiederherstellungsmodell einstellen
Es wird empfohlen, das SQL Server-Wiederherstellungsmodell von 'Vollständig'
(Standardeinstellung) in 'Einfach' zu ändern. Bei einer vollständigen Wiederherstellung kann die Datenbank in dem Zustand wiederhergestellt werden, in dem sie
sich bei Auftreten des Fehlers befand. Einfache Wiederherstellung bedeutet, dass
die Datenbank auf Basis der neuesten Sicherung wiederhergestellt werden kann.
Da alle verlorenen Daten aus den CSR- oder CSR+-Dateien wiederhergestellt und
erneut geladen werden können, ist der erzielbare Nutzen durch die vollständige
Wiederherstellung nicht so groß wie die Einsparungen, die durch die geringere
SQL Server-Protokolldateigröße und den geringeren Plattenspeicherplatz bei der
einfachen Wiederherstellung erreicht werden.
Anmerkung: Wenden Sie sich wegen weiterer Informationen zur Datenbankwiederherstellung an den Datenbankadministrator.
Für SQL Server 2005 können Sie das Datenbankwiederherstellungsmodell beim Erstellen der Datenbank festlegen.
Für SQL Server 2000 und 2008 können Sie das Datenbankwiederherstellungsmodell
wie folgt festlegen:
1. Navigieren Sie im Enterprise Manager zur betreffenden Datenbank.
2. Klicken Sie mit der rechten Maustaste auf die Datenbank und klicken Sie dann
auf Eigenschaften.
3. Klicken Sie auf der Registerkarte Options (Optionen) in der Liste Model (Modell) auf Simple (Einfach).
4. Klicken Sie auf OK.
Benutzeranmeldung für eine SQL Server 2005- und 2008-Datenbank erstellen
Sie müssen unter Verwendung des SQL Server-Authentifizierungstyps einen SQL
Server-Benutzeranmeldeaccount für den Usage and Accounting Manager-Administrator erstellen.
Anmerkung: Dem Schema muss ein Benutzeranmeldeaccount zugeordnet sein,
über den beim Konfigurieren der Cognos-Datenquelle die Anmeldung erfolgt.
Wenn beispielsweise in DB2 die Tabellen im Schema TUAM_OWNER der Datenbank erstellt werden, muss auch der Anmeldeaccount TUAM_OWNER vorhanden
sein, mit dem die Anmeldung bei Cognos erfolgt.
Anmerkung: Die empfohlenen Berechtigungen für Benutzerrollen sind in „TUAMDatenbankrollen und -privilegien” auf Seite 17 dokumentiert.
So erstellen Sie eine Benutzeranmeldung:
Nach der Installation konfigurieren
9
1. Navigieren Sie in SQL Server Management Studio zum Ordner Sicherheit.
2. Klicken Sie mit der rechten Maustaste auf den Ordner Sicherheit und klicken
Sie dann auf Neu > Anmeldung. Daraufhin wird das Dialogfenster 'Anmeldung - Neu' angezeigt.
3. Führen Sie die unten beschriebenen Schritte aus und klicken Sie auf OK, nachdem Sie die Benutzeranmeldung erstellt haben. Die Schritte werden nacheinander für die verschiedenen Seiten beschrieben (Allgemein, Serverrollen, Benutzerzuordnung, Sicherungsfähige Elemente und Status). Der Zugriff auf die
einzelnen Seiten erfolgt durch Klicken auf den entsprechenden Link im Teilfenster Seite auswählen des Dialogfensters 'Anmeldung - Neu'.
Auf der Seite 'Allgemein' von SQL Server Management Studio:
In diesem Abschnitt werden die erforderlichen Schritte beim Ausfüllen der Seite
'Allgemein' von SQL Server Management Studio zum Erstellen einer SQL Server
2005- und 2008-Benutzeranmeldung beschrieben.
1. Geben Sie im Feld 'Anmeldename' den Anmeldenamen ein oder wählen Sie ihn
aus. Bei dem Namen kann es sich um einen Windows-Benutzernamen oder einen Windows-Gruppennamen im Format <DOMÄNE>\<Name> handeln. Klicken Sie auf die Schaltfläche 'Suchen' neben dem Anmeldenamen, um ein Dialogfenster für die Suche nach einem Windows-Benutzer zu öffnen.
2. Klicken Sie auf den Authentifizierungsmodus SQL Server-Authentifizierung.
3. Geben Sie ein Kennwort ein und aktivieren bzw. inaktivieren Sie die folgenden
Kontrollkästchen:
v Kennwortrichtlinie erzwingen. Für diese Anmeldung wird die Kennwortrichtlinie erzwungen. Dies ist die Standardeinstellung bei Auswahl der SQL
Server-Authentifizierung.
v Ablauf des Kennworts erzwingen. Für diese Anmeldung wird der Ablauf
des Kennworts erzwungen. Dieses Kontrollkästchen ist nur verfügbar, wenn
Kennwortrichtlinie erzwingen aktiviert ist.
v Benutzer muss das Kennwort bei der nächsten Anmeldung ändern. SQL
Server fordert den Benutzer zur Eingabe eines neuen Kennworts auf, wenn
die neue Anmeldung zum ersten Mal verwendet wird.
4. Klicken Sie im Feld Standarddatenbank auf die Standarddatenbank für die Anmeldung. Dabei handelt es sich um die Datenbank, die Sie für Usage and Accounting Manager erstellt haben.
5. Klicken Sie im Feld Standardsprache auf die Standardsprache für die Anmeldung.
Die folgenden Kontrollkästchen sind standardmäßig nicht verfügbar:
v Zugeordnet zu Zertifikat. Gibt an, dass diese Anmeldung einem Zertifikat zugeordnet ist. Mit der Anweisung CREATE LOGIN können Sie eine Anmeldung erstellen, die einem Zertifikat zugeordnet ist.
v Zugeordnet zu asymmetrischem Schlüssel. Gibt an, dass diese Anmeldung einem asymmetrischen Schlüssel zugeordnet ist. Mit der Anweisung CREATE LOGIN können Sie eine Anmeldung erstellen, die einem asymmetrischen Schlüssel
zugeordnet ist.
Auf der Seite 'Serverrollen' von SQL Server Management Studio:
In diesem Abschnitt werden die erforderlichen Schritte beim Ausfüllen der Seite
'Serverrollen' von SQL Server Management Studio zum Erstellen einer SQL Server
2005- und 2008-Benutzeranmeldung beschrieben.
10
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Aktivieren Sie das Kontrollkästchen sysadmin.
Auf der Seite 'Benutzerzuordnung' von SQL Server Management Studio:
In diesem Abschnitt werden die erforderlichen Schritte beim Ausfüllen der Seite
'Benutzerzuordnung' von SQL Server Management Studio zum Erstellen einer SQL
Server 2005- und 2008-Benutzeranmeldung beschrieben.
1. Aktivieren Sie unter 'Benutzer, die dieser Anmeldung zugeordnet sind' das
Kontrollkästchen Zuordnen für die Datenbank, zu der Sie die Anmeldung hinzufügen möchten.
2. Lassen Sie unter Mitgliedschaft in Datenbankrolle für das Kontrollkästchen
public aktiviert und aktivieren Sie zusätzlich das Kontrollkästchen db_owner.
Auf der Seite 'Sicherungsfähige Elemente' von SQL Server Management Studio:
In diesem Abschnitt werden die erforderlichen Schritte beim Ausfüllen der Seite
'Sicherungsfähige Elemente' von SQL Server Management Studio zum Erstellen einer SQL Server 2005- und 2008-Benutzeranmeldung beschrieben.
1. Fügen Sie im Raster Sicherungsfähige Elemente ein oder mehrere Objekte (Server, Endpunkte und Anmeldungen) hinzu, für die Sie Sicherheitsberechtigungen festlegen möchten.
Klicken Sie auf Hinzufügen und Entfernen, um Objekte hinzuzufügen und zu
entfernen.
2. Im Raster Explizite Berechtigungen werden die möglichen Berechtigungen für
die im oberen Raster ausgewählten sicherungsfähigen Elemente aufgelistet. Aktivieren oder inaktivieren Sie die Kontrollkästchen Erteilen, Mit Erteilung und
Verweigern, um die Berechtigungen zu konfigurieren. Es sind nicht alle Optionen für alle expliziten Berechtigungen verfügbar.
Verweigern setzt alle anderen Einstellungen außer Kraft. Wenn kein Kontrollkästchen aktiviert ist, werden Berechtigungen, falls vorhanden, von anderen
Gruppenmitgliedschaften übernommen.
3. Klicken Sie abschließend auf OK.
Auf der Seite 'Status' von SQL Server Management Studio:
In diesem Abschnitt werden die erforderlichen Schritte beim Ausfüllen der Seite
'Status' von SQL Server Management Studio zum Erstellen einer SQL Server 2005und 2008-Benutzeranmeldung beschrieben.
Legen Sie folgende Optionen fest:
v Serverzugriff. Klicken Sie auf 'Erteilen', um dieser Anmeldung die Herstellung
einer Verbindung zur SQL Server-Datenbanksteuerkomponente zu erlauben.
v Anmeldename. Klicken Sie auf Enabled (Aktiviert).
Benutzeranmeldung für eine SQL Server 2000-Datenbank erstellen
In diesem Abschnitt werden die erforderlichen Schritte zum Erstellen einer SQL
Server 2000-Benutzeranmeldung beschrieben.
Anmerkung: Dem Schema muss ein Benutzeranmeldeaccount zugeordnet sein,
über den beim Konfigurieren der Cognos-Datenquelle die Anmeldung erfolgt.
Wenn beispielsweise in DB2 die Tabellen im Schema TUAM_OWNER der Datenbank erstellt werden, muss auch der Anmeldeaccount TUAM_OWNER vorhanden
sein, mit dem die Anmeldung bei Cognos erfolgt.
Nach der Installation konfigurieren
11
Anmerkung: Die empfohlenen Berechtigungen für Benutzerrollen sind in „TUAMDatenbankrollen und -privilegien” auf Seite 17 dokumentiert.
So erstellen Sie eine Benutzeranmeldung:
1. Klicken Sie im SQL Server Enterprise Manager mit der rechten Maustaste auf
die Datenbank, die Sie für Usage and Accounting Manager erstellt haben.
2. Klicken Sie auf Neu > Datenbankbenutzer. Daraufhin wird das Dialogfenster
'Datenbankbenutzer - Eigenschaften - Neuer Benutzer' angezeigt.
3. Klicken Sie im Feld Benutzername auf <neu>. Daraufhin wird das Dialogfenster 'SQL Server-Anmeldungseigenschaften - Neuer Benutzername' angezeigt.
4. Gehen Sie auf der Registerkarte Allgemein wie folgt vor:
v Führen Sie im Feld Name eine der folgenden Aktionen aus:
– Wenn Sie die Windows-Benutzerauthentifizierung verwenden möchten,
geben Sie den Benutzernamen ein. Wenn Sie einen Benutzer suchen möchten, klicken Sie auf die Schaltfläche zum Durchsuchen.
– Geben Sie bei Verwendung der SQL Server-Benutzerauthentifizierung einen Benutzeranmeldenamen ein.
v Klicken Sie im Bereich Authentifizierung auf Windows-Authentifizierung
oder SQL Server-Authentifizierung. Geben Sie bei Auswahl von SQL Server-Authentifizierung ein Kennwort ein.
v Klicken Sie im Bereich Standards im Feld Datenbank auf die Standarddatenbank für die Anmeldung.
5. Aktivieren Sie auf der Registerkarte Serverrollen das Kontrollkästchen Systemadministratoren.
6. Aktivieren Sie auf der Registerkarte Datenbankzugriff das Kontrollkästchen
Zulassen für die Datenbank, für die Sie die Anmeldung erstellen.
Wenn das Kontrollkästchen public aktiviert ist, wird eine Liste mit Datenbankzulassungen angezeigt.
7. Lassen Sie das Kontrollkästchen public aktiviert, aktivieren Sie zusätzlich das
Kontrollkästchen db_owner und klicken Sie dann auf OK.
8. Wenn Sie SQL Server-Authentifizierung ausgewählt haben, geben Sie im Dialogfenster 'Kennwort bestätigen' das Anmeldekennwort erneut ein und klicken
Sie dann auf OK.
9. Klicken Sie auf die Schaltfläche 'Schließen', um das Dialogfenster 'Datenbankbenutzer - Eigenschaften - Neuer Benutzer' zu schließen.
Vergewissern Sie sich, dass die Benutzeranmeldung hinzugefügt wurde, indem Sie
die Datenbank erweitern und auf Benutzer klicken.
Zugriff auf SQL Server-Datenbank aktivieren
Um den Zugriff auf eine SQL Server 2005-Datenbank zu aktivieren, müssen Sie lokale Verbindungen und Remoteverbindungen aktivieren (sind standardmäßig nicht
aktiviert). Dies ist für eine SQL Server 2000- oder 2008-Datenbank nicht erforderlich.
1. Klicken Sie auf Start > Programme > Microsoft SQL Server 2005 > Konfigurationstools > SQL Server-Oberflächenkonfiguration.
2. Klicken Sie auf Oberflächenkonfiguration für Dienste und Verbindungen.
3. Klicken Sie auf Remoteverbindungen.
12
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
4. Klicken Sie auf Local and Remote Connections (Lokale und ferne Verbindungen) und Using TCP/IP only (Nur TCP/IP verwenden). Dies auch dann erforderlich, wenn sich die Datenbank auf dem Usage and Accounting ManagerAnwendungsserver befindet.
5. Klicken Sie auf OK.
Werden diese Schritte nicht ausgeführt, wird in der Administration Console der
Fehler invalid connection (ungültige Verbindung) angezeigt.
SQL Server 2005 Express Edition verwenden
In diesem Abschnitt wird beschrieben, wie SQL Server 2005 Express Edition für die
Verwendung zusammen mit Usage and Accounting Manager konfiguriert wird.
SQL Server 2005 Express Edition ist eine kostenlose, benutzerfreundliche Version
von SQL Server 2005. Da SQL Server Express Edition nur über eine begrenzte Speicherkapazität verfügt und nur jeweils einen Prozessor pro Computer unterstützt,
sollte die Anwendung nur in den folgenden Fällen zusammen mit Usage and Accounting Manager verwendet werden:
v Zu Test-, Demonstrations- oder Schulungszwecken. So können Sie beispielsweise
Usage and Accounting Manager auf Ihrem PC für Schulungszwecke installieren
und rasch und problemlos eine Datenbank einrichten.
v Sie verwenden eine DB2- oder Oracle-Datenbank und SQL Server Reporting Services zur Berichterstellung und verfügen über keinen SQL Server. In diesem Fall
können Sie SQL Server 2005 Express Edition und das SQL Server 2005 Express
Toolkit kostenlos herunterladen. Dieses Toolkit enthält das Business Intelligence
Development Studio, das für die Erstellung und Anpassung von Reporting Services-Berichten erforderlich ist.
SQL Server 2005 Express Edition herunterladen und installieren:
Wenn SQL Server 2005 Express für die Datenbankerstellung und für die Erstellung
und Anpassung von SQL Server Reporting-Berichten eingesetzt werden soll, müssen Sie SQL Server 2005 Express Edition mit Advanced Services SP2 und SQL Server 2005 Express Toolkit herunterladen. In diesem Abschnitt wird davon ausgegangen, dass SQL Server 2005 Express auf einem Computer installiert wird, auf dem
SQL Server noch nicht vorhanden ist.
SQL Server 2005 Express Edition herunterladen
SQL Server 2005 Express Edition steht kostenlos auf der Microsoft-Website unter
http://www.microsoft.com/sql/default.mspx zur Verfügung. Laden Sie SQL Server 2005 Express Edition mit Advanced Services SP2 und SQL Server 2005 Express
Toolkit herunter. Mit SQL Server 2005 Express Edition mit Advanced Services erhalten Sie Features wie ein grafisches Management-Tool, Volltextsuche usw.
SQL Server 2005 Express Edition installieren
Das SQL 2005 Server Express-Paket im Internet zum Herunterladen besteht aus einer ausführbaren Datei. Die Anwendung wird installiert, indem Sie doppelt auf die
ausführbare Datei (.exe) für SQL Server 2005 Express Edition klicken und entsprechend den Anweisungen des Installationsassistenten vorgehen. Hilfe bei der Ausführung des Assistenten erhalten Sie von Ihrem Datenbankadministrator. Hier eine
Übersicht über die wichtigsten Schritte, die ausgeführt werden müssen:
v Wählen Sie auf der Seite 'Featureauswahl' alle Features mit Ausnahme von Software Development Kit aus. Klicken Sie dazu auf den Pfeil neben dem Namen
Nach der Installation konfigurieren
13
des gewünschten Features und wählen Sie in der Dropdown-Liste Entire feature
will be downloaded on the local hard drive (Diese Funktion wird vollständig
auf die lokale Festplatte heruntergeladen) aus.
v Klicken Sie auf der Seite 'Authentifizierungsmodus' auf Gemischter Modus
(Windows-Authentifizierung und SQL Server-Authentifizierung).
Bei dieser Installation wird die SQL Server-Standardinstanz SQLEXPRESS installiert. Sie können diese Instanz anzeigen, indem Sie auf Start > Alle Programme >
Microsoft SQL Server 2005 > SQL Server Management Studio Express klicken.
SQL Server 2005 Express Toolkit installieren
Klicken Sie doppelt auf die ausführbare Datei (.exe) für SQL Server 2005 Express
Toolkit und gehen Sie entsprechend den Anweisungen des Installationsassistenten
vor. Hilfe bei der Ausführung des Assistenten erhalten Sie von Ihrem Datenbankadministrator. Hier eine Übersicht über die wichtigsten Schritte, die ausgeführt
werden müssen:
v Klicken Sie auf der Seite 'Featureauswahl' des Assistenten auf den Pfeil neben
Business Intelligence Development Studio und wählen Sie in der DropdownListe Entire feature will be downloaded on the local hard drive (Diese Funktion wird vollständig auf die lokale Festplatte heruntergeladen) aus.
v Wählen Sie auf der Seite 'Existing Components' (Installierte Komponenten)
Workstation Components and Development tools <version> (Workstationkomponenten und Entwicklungstools <Version>) aus.
Bei dieser Installation wird Report Designer installiert; diese Komponente ist für
die Erstellung und Anpassung von SQL Server Reporting Services-Berichten erforderlich. Diese Komponente ist im Business Intelligence Development Studio enthalten, das vollständig in die Microsoft Visual Studio 2005-Entwicklungsumgebung
integriert ist. Öffnen Sie Report Designer, indem Sie auf Start > Alle Programme >
Microsoft SQL Server 2005 > SQL Server Business Intelligence Development
Studio klicken. Nachdem Sie Business Intelligence Development Studio aufgerufen
haben, können Sie die Schablone eines Berichtsserverprojekts öffnen bzw. eine neue
Schablone erstellen.
SQL Server 2005 Express Edition für die Verwendung mit Usage and Accounting
Manager konfigurieren:
Bei der Installation von SQL Server 2005 Express Edition wird die SQL Server-Standardinstanz SQLEXPRESS installiert. Sie müssen das Protokoll (TCP/IP) und den
Port setzen, über das bzw. den die Verbindung von Usage and Accounting Manager mit dem Datenbankserver hergestellt wird.
1. Klicken Sie auf Start > Alle Programme > Microsoft SQL Server 2005 > Konfigurationstools > SQL Server Configuration Manager.
2. Erweitern Sie im linken Teilfenster von SQL Server Configuration Manager den
Eintrag SQL Server 2005 Network Configuration (SQL Server 2005 - Netzkonfiguration).
3. Klicken Sie auf Protocols for SQLEXPRESS (Protokolle für SQLEXPRESS).
4. Klicken Sie im rechten Teilfenster auf den Knoten TCP/IP und anschließend auf
Aktivieren.
5. Klicken Sie mit der rechten Maustaste erneut auf den Knoten TCP/IP und klicken Sie auf Eigenschaften.
6. Klicken Sie im Dialogfenster mit den TCP/IP-Eigenschaften auf die Registerkarte IP Addresses (IP-Adressen).
14
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
7. Erweitern Sie den Eintrag IPAll, setzen Sie im Feld TCP Port (TCP-Port) den
TCP-Port auf eine der folgenden Nummern und klicken Sie auf OK:
v Den SQL Server-Standardport (1433).
v Eine Portnummer Ihrer Wahl. Wenn Sie eine andere Portnummer als 1433
verwenden, müssen Sie in der Administration Console beim Erstellen der
Datenquelle für die SQL Server-Datenbank die gewünschte Portnummer angeben.
8. Starten Sie den Service SQL Server (SQLEXPRESS):
a. Klicken Sie auf SQL Server 2005 Services.
b. Klicken Sie mit der rechten Maustaste auf SQL Server (SQLEXPRESS) und
klicken Sie auf Neu starten.
SQL Server 2005 Express Edition-Datenbank erstellen:
Bei der Installation von SQL Server 2005 Express Edition wird die SQL Server-Standardinstanz SQLEXPRESS installiert. Sie müssen das Protokoll (TCP/IP) und den
Port setzen, über das bzw. den die Verbindung von Usage and Accounting Manager mit dem Datenbankserver hergestellt wird.
Anmerkung: Mit den folgenden Schritten wird eine Datenbank unter Verwendung
der Standardwerte erstellt. Sollen andere Werte verwendet werden, sehen Sie in
der Dokumentation für SQL Server 2005 Express Edition nach.
1. Klicken Sie auf Start > Alle Programme > Microsoft SQL Server 2005 > SQL
Server Management Studio Express.
2. Erweitern Sie in SQL Server Management Studio Express Object Explorer die
Instanz SQLEXPRESS.
3. Klicken Sie mit der rechten Maustaste auf Datenbanken und klicken Sie auf
Neue Datenbank.
4. Geben Sie im Feld Datenbank den Namen ein, der der Datenbank zugeordnet
werden soll.
5. Klicken Sie auf OK, um die Datenbank zu erstellen, indem alle Standardwerte
übernommen werden.
Die Datenbank wird unter Datenbanken angezeigt.
Oracle-Datenbank konfigurieren und Verbindung herstellen
In diesem Abschnitt wird beschrieben, wie Usage and Accounting Manager für die
Verwendung einer Oracle-Datenbank aktiviert wird.
Damit Usage and Accounting Manager die Oracle-Datenbank verwenden kann,
müssen Sie wie folgt vorgehen:
v Erstellen Sie ein Oracle-Schema.
v Ändern Sie die Datei sqlnet.ora.
v Konfigurieren Sie Usage and Accounting Manager für den Zugriff auf die Datenbank.
Anmerkung: Für Usage and Accounting Manager Web Reporting muss der
Oracle 10g-Client auf dem Server installiert und die Benennungsmethode EZCONNECT aktiviert sein. Dies ist die Standardeinstellung für den Oracle 10gClient. Die Installation des Clients sollte auch die Schnittstelle 'Oracle Provider
for OLE DB' einschließen.
Nach der Installation konfigurieren
15
Wählen Sie zu diesem Zweck eine angepasste Installation aus und navigieren Sie
zu Oracle Windows Interface. Die Schnittstelle Oracle Provider for OLE DB
wird in diesem Abschnitt aufgelistet.
Oracle-Schema erstellen
Informationen zum Erstellen eines Schemas finden Sie in der Dokumentation zu
Ihrer Oracle-Datenbank.
Anmerkung: Dem Schema, das verwendet wird, muss ein Benutzeranmeldeaccount zugeordnet sein, der beim Einrichten der Cognos-Datenquelle für die Anmeldung verwendet wird. Wenn in DB2 beispielsweise die Tabellen im TUAM_OWNER in der Datenbank erstellt werden, muss auch der Anmeldename TUAM_OWNER vorhanden sein, der dann für die Anmeldung in Cognos verwendet wird.
Tipps zum Schema
v Der Usage and Accounting Manager-Administrator muss Verbindungsberechtigungen sowie Berechtigungen zum Erstellen und Verwalten der Tabellen, Ansichten und gespeicherten Prozeduren des Benutzers haben. Weisen Sie die Rolle
CONNECT und eine oder mehrere Rollen zu, die die erforderlichen Verwaltungsberechtigungen bereitstellen, z. B. die Rolle als Datenbankadministrator
(DBA).
Zugehörige Verweise
„TUAM-Datenbankrollen und -privilegien” auf Seite 17
Der folgende Artikel wurde erstellt, um Datenbankadministratoren bei der Klassifizierung und Entscheidung hinsichtlich der Sicherheitseinstellungen für die verschiedenen TUAM-Rollen zu helfen.
Datei sqlnet.ora ändern
Der IIS-Web-Server, der für Usage and Accounting Manager Web Reporting und
andere webbasierte Usage and Accounting Manager-Anwendungen verwendet
wird, kann für anonyme oder über Windows authentifizierte Zugriffe konfiguriert
werden. Wenn Sie eine Oracle-Datenbank einsetzen und die Windows-Authentifizierung für IIS verwendet werden soll, müssen Sie die Datei sqlnet.ora ändern.
Wenn Sie eine Oracle-Datenbank einsetzen und die Windows-Authentifizierung für
IIS verwendet werden soll, ändern Sie folgende Zeile in der Datei sqlnet.ora:
SQLNET.AUTHENTICATION_SERVICES= (NTS)
Setzen Sie die Zeile entweder auf Kommentar, indem Sie am Anfang der Zeile ein
Nummernzeichen (#) einfügen, oder ersetzen Sie NTS durch NONE (siehe folgende
Beispiele):
#SQLNET.AUTHENTICATION_SERVICES= (NTS)
oder
SQLNET.AUTHENTICATION_SERVICES= (NONE)
Wenn diese Zeile nicht geändert wird, wird folgender Fehler ausgegeben:
ORA-12638: Credential retrieval failed (Abruf des Berechtigungsnachweises
fehlgeschlagen).
Zugriff auf die Oracle-Datenbank aktivieren
Für Usage and Accounting Manager Web Reporting muss der Oracle 10g-Client
auf dem Server installiert und die Benennungsmethode EZCONNECT aktiviert
sein. Dies ist die Standardeinstellung für den Oracle 10g-Client. Die Installation des
Clients sollte auch die Schnittstelle 'Oracle Provider for OLE DB' einschließen.
16
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Wählen Sie zu diesem Zweck eine angepasste Installation aus und navigieren Sie
zu Oracle Windows Interface. Die Schnittstelle Oracle Provider for OLE DB wird
in diesem Abschnitt aufgelistet.
Die Easy Connect Naming-Methode (EZCONNECT) von Oracle ist erst ab 10g verfügbar, daher ist der Oracle 10-Client eine Voraussetzung für den Zugriff auf eine
Oracle-Datenbank über Web-Reporting. Als Back-End-Datenbank kann Oracle 10
oder 9 eingesetzt werden.
Falls keine Verbindung zu einer Oracle-Datenquelle hergestellt werden kann, wird
folgende Fehlernachricht angezeigt:
AUCCM3204E Windows Web Reporting konnte keine Verbindung zu einer Oracle-Datenbank
mithilfe der Datenquelle herstellen: {Datenquellenname}. Für die Verbindung von
Windows Web Reporting mit der Oracle-Datenbank muss der Oracle 10g-Client auf dem
Server installiert und die Easy Connect Naming-Methode aktiviert sein.
Installieren Sie den Oracle 10g-Client auf dem Windows Web Reporting-Server.
Sie müssen den Oracle 10g-Client auf dem Berichtsserver installieren (dies kann
derselbe Server wie der Anwendungsserver oder ein separater Server sein). Gehen
Sie nach der Installation des Oracle-Clients folgendermaßen vor:
1. Vergewissern Sie sich, dass 'ezconnect' in der Datei 'sqlnet.ora' im Parameter
'names.directory_path' aufgeführt wird: names.directory_path =(tnsnames, ezconnect).
2. Vergewissern Sie sich, dass die Gruppe der authentifizierten Benutzer über Lese- und Schreibzugriff auf das Oracle-Ausgangsverzeichnis und alle darin enthaltenen Dateien und Unterverzeichnisse verfügt.
3. Auf der Seite 'Verwaltung der Datenquellenliste' der Administration Console
können Sie die Datenquelle für die Datenbank testen und bei Bedarf aktualisieren.
Datenbank sichern
Sie sollten Ihre Usage and Accounting Manager-Datenbank(en) unbedingt sichern,
damit Sie Ihre Daten bei einem Datenträgerausfall oder im Falle von Naturkatastrophen wiederherstellen können. Es wird empfohlen, die Datenbank wöchentlich
zu sichern und die Sicherung auf einem anderen Server an einem anderen Standort
aufzubewahren. Wenden Sie sich zur Unterstützung bei der Sicherung und Wartung der Datenbank an den Datenbankadministrator.
TUAM-Datenbankrollen und -privilegien
Der folgende Artikel wurde erstellt, um Datenbankadministratoren bei der Klassifizierung und Entscheidung hinsichtlich der Sicherheitseinstellungen für die verschiedenen TUAM-Rollen zu helfen.
Tabelle 2. Berechtigungen nach Rolle
Administrator
Verarbeitung
Bericht
Eigentumsrecht an Tables/Views/Stored
Procedures
X
-
-
SELECT in der Berechtigung Tables/Views
X
X
X
INSERT in der Berechtigung Tables
X
X
-
DELETE in der Berechtigung Tables
X
X
-
UPDATE in der Berechtigung Tables
X
X
-
EXECUTE-Berechtigung für Stored Procedures
X
-
X
Berechtigung
Nach der Installation konfigurieren
17
Administration Console starten
Starten Sie die Administration Console, um Usage and Accounting Manager einzurichten und zu konfigurieren.
So starten Sie Administration Console:
1. Starten Sie den Internet Explorer oder Firefox und geben Sie im Adressfeld
http://<Hostname>:16310/ibm/console/ ein. In diesem Fall ist <Hostname> der
Server, auf dem die Administration Console aktiv ist, also wird hier der Servername oder die IP-Adresse eingegeben.
Anmerkung: Wenn nicht der Standardport verwendet wird, muss die entsprechende Portnummer angegeben werden.
oder
(Nur auf Windows-Plattformen) Klicken Sie auf Start > Alle Programme > IBM
Tivoli Usage and Accounting Manager > Administration Console.
2. Auf der Begrüßungsseite der Administration Console haben Sie zwei Möglichkeiten:
v Wenn für Usage and Accounting Manager die Sicherheit aktiviert ist, müssen
Sie in den Feldern Benutzer-ID und Kennwort die Benutzer-ID bzw. das
Kennwort eingeben und anschließend auf Anmelden klicken.
v Ist keine Sicherheit konfiguriert, lassen Sie die Felder Benutzer-ID und
Kennwort leer und klicken Sie auf Anmelden.
Anmerkung: Über die Sicherheitskonfiguration können Sie vorgeben, welche
Benutzer in derAdministration Console auf welche Usage and Accounting Manager-Seiten zugreifen können. Standardmäßig wird die Sicherheit für Usage
and Accounting Manager bei der Installation aktiviert.
Sicherheitszertifikat akzeptieren
Bei der Anmeldung kann ein Sicherheitsalert mit einer Nachricht angezeigt werden, die besagt, dass ein Problem mit dem Sicherheitszertifikat vorliegt. Das bedeutet, dass die Browseranwendung das Sicherheitszertifikat des Anwendungsservers überprüft.
Selbst signiertes oder von einer Zertifizierungsstelle signiertes
Zertifikat
Der Anwendungsserver verwendet ein selbst signiertes Sicherheitszertifikat. Möglicherweise wird beim erstmaligen Herstellen der Verbindung zur Verwaltungskonsole ein Sicherheitsalert angezeigt, der Sie auf ein Problem mit dem Sicherheitszertifikat hinweist. Sie werden unter Umständen vor einem möglicherweise
ungültigen Zertifikat gewarnt und es wird von einer Anmeldung abgeraten.
Trotz dieser Warnung ist das Zertifikat gültig und Sie können es akzeptieren. Wenn
Sie es vorziehen, können Sie auch Ihr eigenes, von einer Zertifizierungsstelle (Certificate Authority - CA) signiertes Zertifikat installieren. Informationen zum Erstellen eines eigenen, von einer CA signierten Zertifikats finden Sie auf der folgenden
Webseite: http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/
index.jsp?topic=/com.ibm.websphere.base.doc/info/aes/ae/
tsec_sslcreateCArequest.html.
18
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Weitere Informationen zu Zertifikaten finden Sie im IBM WebSphere Application
Server Community Edition Documentation Project unter http://
publib.boulder.ibm.com/wasce/V2.1.1/en/overview.html. Suchen Sie auf dieser
Site nach Managing trust und Managing SSL certificates.
JDBC-Treiber konfigurieren
JDBC ist eine Anwendungsprogrammierschnittstelle (API), über die Java-Programme eine Verbindung zu den Daten in einer Vielzahl von Datenbanken herstellen
können. Damit die Usage and Accounting Manager-Prozessengine auf eine DB2-,
SQL Server- oder Oracle-Datenbank zugreifen kann, müssen auf dem Server, auf
dem Usage and Accounting Manager aktiv ist, die entsprechenden Treiber vorhanden sein.
Die folgenden JDBC-Treiber werden unterstützt:
v Der JDBC-Treiber für DB2 ist der DB2 Universal JDBC Driver (Typ 4). Folgende
Treiber- und Lizenzdateien sind erforderlich:
– DB2 for Linux, UNIX, and Windows: db2jcc.jar und db2jcc_license_cu.jar
(JAR-Lizenzdatei) Version 2.8.46 oder höher. Die Treiber- und Lizenzdatei ist
in DB2 for Linux, UNIX and Windows 8.1 Fixpack 11 oder höher enthalten.
– DB2 for z/OS UDB: db2jcc.jar und db2jcc_license_cisuz.jar (JAR-Lizenzdatei). Dieser Treiber und die Lizenzdatei sind in der Installation von DB2
Connect enthalten.
v Für SQL Server und Oracle werden die JDBC-Treiber sqljdbc4.jar (Microsoft)
oder ojdbc14.jar Version 9.2.0.1 (Oracle) verwendet. Die Treiber stehen auf den
Websites von Microsoft bzw. Oracle zur Verfügung:
– http://www.microsoft.com/downloads/details.aspx?FamilyID=c47053eb3b64-4794-950d-81e1ec91c1ba&DisplayLang=en
– http://www.oracle.com/technology/software/tech/java/sqlj_jdbc/index.html
JDBC-Treiber hinzufügen
Für die Usage and Accounting Manager-Datenbank sowie für alle Datenbanken,
aus denen die Usage and Accounting Manager-Datenkollektoren Daten erfassen,
muss ein entsprechender JDBC-Treiber verfügbar sein. JDBC ist eine Anwendungsprogrammierschnittstelle (API), über die Java-Programme eine Verbindung zu den
Daten in einer Vielzahl von Datenbanken herstellen können. Die entsprechenden
JDBC-Treiber müssen auf dem Server zur Verfügung stehen, auf dem Usage and
Accounting Manager ausgeführt wird.
Die Datenbank, in der Usage and Accounting Manager-Daten gespeichert werden,
muss einen der folgenden Treiber verwenden:
v Für DB2 for Linux, UNIX and Windows: db2jcc.jar und db2jcc_license_cu.jar
Version 2.8.46 oder höher (JAR-Lizenzdatei). Die Treiber- und Lizenzdatei ist in
DB2 for Linux, UNIX and Windows 8.1 Fixpack 11 oder höher enthalten.
v Für DB2 for z/OS UDB: db2jcc.jar und db2jcc_license_cisuz.jar (JAR-Lizenzdatei). Dieser Treiber und die Lizenzdatei sind in der Installation von DB2
Connect enthalten.
v Für Oracle: ojdbc14.jar Version 10.1.0.2. Dieser Treiber ist auf der Oracle-Website verfügbar (http://www.oracle.com/technology/software/tech/java/
sqlj_jdbc/index.html).
v Für SQL Server: sqljdbc4.jar. Dieser Treiber ist auf der Microsoft-Website verfügbar (http://www.microsoft.com/downloads/en/
details.aspx?FamilyID=a737000d-68d0-4531-b65d-da0f2a735707&displaylang=en).
Nach der Installation konfigurieren
19
Sie können für die von den Usage and Accounting Manager-Datenkollektoren verwendeten Datenbanken auch andere Treiber verwenden. Werden beispielsweise mit
dem DBSpace-Datenkollektor Daten in einer Sybase-Datenbank erfasst, müssen Sie
den JDBC-Treiber für diese Datenbank verwenden.
Wenn Sie mehrere Datenbanktools einsetzen (beispielsweise eine DB2- und eine
Oracle-Datenbank für die Speicherung der Usage and Accounting Manager-Daten),
ist der Treiber für jeden der beiden Datenbanktypen erforderlich.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Usage
and Accounting-Konfiguration > Treiber.
2. Klicken Sie auf der Seite 'Konfiguration - Treiber' auf Neu. Daraufhin werden
die Schaltfläche Durchsuchen und das Textfeld aktiviert.
3. Geben Sie den Pfad zum Treiber im Textfeld ein oder klicken Sie auf Durchsuchen, um den Treiberpfad zu suchen.
4. Klicken Sie auf OK, um den Treiber hinzuzufügen. Der Treiber wird zur Treiberliste hinzugefügt.
Anmerkung: Ist der JDBC-Treiber auch in der Umgebungsvariablen CLASSPATH
definiert, müssen Sie sicherstellen, dass hier derselbe Treiberpfad definiert ist wie
in CLASSPATH. CLASSPATH ist eine Java-Umgebungsvariable, der die Java Virtual Machine den Pfad zu den benutzerdefinierten Klassen und Paketen in Java-Programmen entnehmen kann.
Usage and Accounting Manager-Datenquellen konfigurieren
Eine Datenquelle ist zum Herstellen einer Verbindung zur Usage and Accounting
Manager-Datenbank erforderlich. Sie ist außerdem für den Usage and Account Manager-Datenkollektor erforderlich, der Daten aus einer Datenbank oder einem WebService erfasst.
In Usage and Accounting Manager gibt es fünf verschiedene Datenquellen:
v Server. Diese Datenbanken stellen eine Verbindung zu den mit Usage and Accounting Manager verwendeten Datenbanken her (es können mehrere Datenbanken mit Usage and Accounting Manager verwendet werden, beispielsweise eine
Produktions- und eine Testdatenbank).
Anmerkung: Sie können die Musterdatenquelle Standard als Referenz verwenden oder die Datenquelle zur Verwendung in Ihrer Organisation anpassen.
v Collector-Datenbank. Bei DB2-, Oracle- oder SQL Server-Datenbanken, die die
unterstützten Treiber verwenden, sind dies die Datenquellen, die eine Verbindung zu der Datenbank herstellen, aus der mit Hilfe eines Usage and Accounting Manager-Datenkollektors Daten erfasst werden. Dies sind die Standardtreiber:
– Für DB2 for Linux, UNIX and Windows: db2jcc.jar und
db2jcc_license_cu.jar Version 2.8.46 oder höher (JAR-Lizenzdatei). Die Treiber- und Lizenzdatei ist in DB2 for Linux, UNIX and Windows 8.1 Fixpack 11
oder höher enthalten.
– Für DB2 for z/OS UDB: db2jcc.jar und db2jcc_license_cisuz.jar (JAR-Lizenzdatei). Dieser Treiber und die Lizenzdatei sind in der Installation von
DB2 Connect enthalten.
– Für Oracle: ojdbc14.jar, für Oracle 9 oder 10.1.0.2 für Oracle 10. Dieser Treiber ist auf der Oracle-Website verfügbar.
20
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
– Für SQL Server: sqljdbc4.jar. Dieser Treiber ist auf der Microsoft-Website
verfügbar.
v Collector - Web-Service. Diese Datenquellen stellen eine Verbindung zu einem
Web-Service her, aus dem Sie mithilfe eines Usage and Accounting ManagerDatenkollektors Daten erfassen.
v Verbindung Collector-Server. Diese Datenquellen stellen eine Verbindung zu einem Server her, aus dem mithilfe eines Usage and Accounting Manager-Datenkollektors Daten erfasst werden.
v Sonstiges. Diese Datenquellen stellen bei DB2-, Oracle- oder SQL Server-Datenbanken, die keine der unterstützte Standardtreiber verwenden, oder bei anderen
Datenbanken eine Verbindung zu einer Datenbank her, aus der mithilfe eines
Usage and Accounting Manager-Datenkollektors Daten erfasst werden. (Wenn
beispielsweise Daten aus einer Sybase- oder Microsoft Access-Datenbank erfasst
werden sollen.)
Datenquellen erstellen
Erstellen Sie im Anschluss an die Installation von Usage and Accounting Manager
eine Datenquelle des Typs 'Verbindung Server-Collector', die eine Verbindung zu
Ihrer Usage and Accounting Manager-Datenbank herstellt. Wenn Sie Daten mithilfe
eines Usage and Accounting Manager-Datenkollektors aus Datenbanken oder WebServices erfassen, müssen Sie eine Datenquelle des Typs 'Collector-Datenbank',
'Collector - Web-Service' oder 'Sonstiges' erstellen, die eine Verbindung zu der Datenbank oder dem Web-Service herstellt, aus der bzw. dem Daten erfasst werden
sollen.
Server- oder Collector-Datenbank-Datenquelle hinzufügen
Für die Verbindung zu einer Usage and Accounting Manager-Datenbank wird eine
Datenquelle des Typs 'Verbindung Collector-Server', für die Verbindung zu einer
DB2 for Linux, UNIX, and Windows-, DB2 for z/OS-, Oracle- oder SQL Server-Datenbank, aus der mithilfe eines Usage and Accounting Manager-Datenkollektors
Daten erfasst werden sollen, wird eine Datenquelle des Typs 'Collector-Datenbank'
verwendet.
Die Datenquellen für DB2 for Linux, UNIX, and Windows-Datenbanken sowie für
DB2 for z/OS-, Oracle- oder SQL Server-Datenbanken, die die unterstützten Standardtreiber verwenden (siehe „Usage and Accounting Manager-Datenquellen
konfigurieren” auf Seite 20), werden über die Registerkarte Collector-Datenbank
erstellt. Datenquellen für DB2-, Oracle- oder SQL Server-Datenbanken, die nicht die
unterstützten Standardtreiber verwenden, sowie für andere Datenbanken (Sybase
oder Microsoft Access) werden über die Registerkarte Sonstiges erstellt.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenquellen > Server.
oder
Klicken Sie auf Systemkonfiguration > Datenquellen > Collector-Datenbank.
2. Klicken Sie auf der Seite 'Verwaltung der Datenquellenliste' auf Neu.
3. Geben Sie auf der Seite 'Datenquellenverwaltung' folgende Informationen ein:
Name der Datenquelle
Geben Sie den Namen ein, den Sie der Datenquelle zuordnen möchten.
Anmerkung: Die folgenden Zeichen sind ungültige Zeichen für einen
Datenquellennamen: "/", "\", '"', ":", "?", "<", ">", ".", "|".
Nach der Installation konfigurieren
21
Datenbankname
Geben Sie den Namen der Datenbank ein, auf die die Datenquelle verweisen soll.
Bei einer DB2 for z/OS-Datenquelle enthält das Feld einen zweiteiligen
Eintrag (<Speicherortname>/<Datenbankname>). Den korrekten Speicherortnamen finden Sie in der DDF-Konfiguration, die in den z/OSStartnachrichten wie folgt angezeigt wird:
13.17.59 STC16980
13.18.21 STC16980
611
611
611
611
611
611
DSNL003I
DSNL004I
:D81L DDF IS STARTING
:D81L DDF START COMPLETE 611
LOCATION KSCDB201
LU
USCACO01.DB2D81L
GENERICLU -NONE
DOMAIN
demomvs.db2.ibm.com
TCPPORT
446
RESPORT
5020
In diesem Beispiel ist KSCDB201 der Name des Speicherorts. Bei Erstellung einer DB2 for z/OS-Datenbank mit dem Namen TUAM71 müssen
Sie KSCDB201/TUAM71 in diesem Feld eingeben.
Objektpräfix
Geben Sie bei anderen Datenbanktypen als Microsoft SQL Server den
Schemanamen für die Datenbank ein. Bei dieser Angabe muss die
Groß-/Kleinschreibung beachtet werden. Lautet der Schemaname
TUAM, müssen Sie TUAM und nicht tuam eingeben. Datenbankschemas
werden über Datenbankverwaltungsprogramme definiert. Ist der Schemaname nicht bekannt, wenden Sie sich an den Datenbankadministrator.
Beim SQL-Server wird empfohlen, dbo einzugeben. Durch dieses Objektpräfix wird für den Besitzer des Datenbankobjekts in der Datenbank
'dbo' festgelegt, damit alle berechtigten Datenbankbenutzer die Objekte
anzeigen können.
Datenbanktyp
Wählen Sie den Datenbanktyp aus.
Anwendungstyp
Zeigt den Datenquellentyp an, den Sie hinzufügen oder bearbeiten. Dieses Feld dient nur zu Informationszwecken.
Host
Zeigt den Hostnamen, die IP-Adresse oder den IP-Namen des Systems
an, auf dem sich die Datenbank befindet.
Bei Verwendung einer IPv6-Adresse (Internet Protocol Version 6) als
Hostname muss die IP-Adresse das folgende Format haben:
v Wenn Sie die Datenquelle nicht für Usage and Accounting Manager
Web Reporting verwenden, müssen Sie die Adresse in eckige Klammern setzen. So sollte die IPv6-Adresse
aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb wie folgt angegeben werden: [aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb].
v Wenn Sie die Datenquelle für Usage and Accounting Manager Web
Reporting verwenden (d. h., die Datenbank wird für Web-Reporting
eingesetzt), werden keine eckigen Klammern verwendet; stattdessen
müssen die Doppelpunkte (:) in der Adresse durch Bindestriche (-)
ersetzt und an das Ende der Adresse .ipv6-literal.net angefügt
werden. So sollte die IPv6-Adresse
aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb wie folgt angegeben werden: aaaa-bbbb-cccc-dddd-eeee-ffff-aaaa-bbbb.ipv6-literal.net.
22
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Benutzername und Kennwort
Geben Sie die Benutzer-ID und das Kennwort für die Datenbank ein.
Port
Standardmäßig stellt Usage and Accounting Manager eine Verbindung
zu einem der folgenden Ports auf dem Datenbankserver her: 50000
(DB2 for Linux, UNIX and Windows); 446 (DB2 for z/OS); 1433 (SQL
Server) oder 1521 (Oracle). Wenn Sie einen anderen Port als einen dieser Standardports verwenden, müssen Sie die Portnummer eingeben.
Treiber
Usage and Accounting Manager verwendet einen der folgenden JDBCTreiber: db2jcc.jar und db2jcc_license_cu.jar (DB2 LUW),
db2jcc.jar und db2jcc_license_cisuz.jar (DB2 z/OS), sqljdbc4.jar
(SQL Server) oder ojdbc14.jar (Oracle). Der Pfad zum JDBC-Treiber
muss auf der Seite 'Konfiguration - Treiber' definiert werden.
Parameter
Geben Sie die zusätzlichen Parameter ein, die erforderlich sind, um
eine Verbindung zur Datenbank zu aktivieren.
Geben Sie eine URL ein, wenn Sie eine andere URL als die Standardeinstellung verwenden möchten. Sie können der URL beispielsweise Eigenschaften hinzufügen.
4. Klicken Sie auf OK, um die Datenquelleninformationen zu speichern und zur
Seite 'Verwaltung der Datenquellenliste' zurückzukehren, auf der die neue Datenquelle angezeigt wird.
URL
Anmerkung: Wenn Sie sich vergewissern möchten, dass die Verbindung mit
der Datenbank erfolgreich ist, klicken Sie auf Test.
Standarddatenquelle für Verwaltung, Verarbeitung und Berichterstellung festlegen
Wenn Sie Usage and Accounting Manager-Daten in mehreren Datenbanken speichern (wenn beispielsweise eine Produktions- und eine Entwicklungsdatenbank
vorhanden sind), müssen Sie die Datenquelle für eine Datenbank als Standarddatenquelle für die Verwaltung, die Datenverarbeitung und das Web-Reporting auswählen. Dies gilt nur für Server-Datenquellen.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenquellen > Server.
2. Klicken Sie auf der Seite 'Verwaltung der Datenquellenliste' neben dem Datenquellennamen in der Spalte 'Name der Datenquelle' auf das Symbol für Kontextmenü anzeigen.
3. Klicken Sie auf jede der folgenden Optionen:
Administrator festlegen
Gibt an, ob die Datenquelle gerade von der Verwaltungskonsole von
Usage and Accounting Manager verwendet wird. Ist in der Spalte 'Standardeinstellung Admin' ja angezeigt, handelt es sich hier um die Datenquelle, die von Administration Console verwendet wird.
Verarbeitung festlegen
Gibt an, ob die Datenquelle momentan von Usage and Accounting Manager Job Runner verwendet wird. Wenn in der Spalte 'Standardverarbeitung' Ja angezeigt wird, ist dies die Datenquelle, die Job Runner verwenden wird.
Nach der Installation konfigurieren
23
Bericht festlegen
Zeigt an, ob die Datenquelle momentan von der Web-Reporting-Anwendung von Usage and Accounting Manager verwendet wird. Wenn
in der Spalte 'Standardberichterstellung' Ja angezeigt wird, ist dies die
Datenquelle, die die Web-Reporting-Anwendung verwenden wird.
Zugehörige Verweise
„TUAM-Datenbankrollen und -privilegien” auf Seite 17
Der folgende Artikel wurde erstellt, um Datenbankadministratoren bei der Klassifizierung und Entscheidung hinsichtlich der Sicherheitseinstellungen für die verschiedenen TUAM-Rollen zu helfen.
Datenquelle des Typs 'Collector - Web-Service' hinzufügen
Datenquellen des Typs 'Collector - Web-Service' werden für die Verbindung zu einem Web-Service verwendet, aus dem Sie mithilfe eines Usage and Accounting
Manager-Datenkollektors Daten erfassen. In diesem Abschnitt werden die Schritte
zum Erstellen von Datenquellen des Typs 'Collector - Web-Service' beschrieben.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenquellen > Collector - Web-Service.
2. Klicken Sie auf der Seite 'Verwaltung der Datenquellenliste' auf Neu.
3. Geben Sie auf der Seite 'Datenquellenverwaltung' folgende Informationen ein:
Name der Datenquelle
Geben Sie den Namen ein, den Sie der Datenquelle zuordnen möchten.
Anmerkung: Die folgenden Zeichen sind ungültige Zeichen für einen
Datenquellennamen: "/", "\", '"', ":", "?", "<", ">", ".", "|".
Anwendungstyp
Zeigt den Datenquellentyp an, den Sie hinzufügen oder bearbeiten. Dieses Feld dient nur zu Informationszwecken.
Benutzername und Kennwort
Geben Sie die Benutzer-ID und das Kennwort für den Web-Service ein.
URL
Geben Sie wie folgt die URL des Web-Service ein. Der Port muss in der
URL nur angegeben werden, wenn für HTTP und HTTPS ein anderer
Port als 80 bzw. 443 verwendet wird.
http://<Servername>:Port
oder
https://<Servername>:Port
Truststore-Kennwort
Geben Sie das Truststore-Kennwort ein.
4. Klicken Sie auf OK, um die Datenquelleninformationen zu speichern und zur
Seite 'Verwaltung der Datenquellenliste' zurückzukehren, auf der die neue Datenquelle angezeigt wird.
Anmerkung: Wenn Sie sich vergewissern möchten, dass die Verbindung mit
der Datenbank erfolgreich ist, klicken Sie auf Test.
24
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Datenquelle des Typs 'Verbindung Collector-Server' hinzufügen
Mit einer Datenquelle des Typs 'Verbindung Collector-Server' wird eine Verbindung zu einem Server hergestellt, aus dem mithilfe eines Usage and Accounting
Manager-Datenkollektors Daten erfasst werden. In diesem Abschnitt werden die
Schritte zum Erstellen von Datenquellen des Typs 'Verbindung Collector-Server' beschrieben.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenquellen > Verbindung Collector-Server.
2. Klicken Sie auf der Seite 'Verwaltung der Datenquellenliste' auf Neu.
3. Geben Sie auf der Seite 'Datenquellenverwaltung' folgende Informationen ein:
Name der Datenquelle
Geben Sie den Namen ein, den Sie der Datenquelle zuordnen möchten.
Anmerkung: Die folgenden Zeichen sind ungültige Zeichen für einen
Datenquellennamen: "/", "\", '"', ":", "?", "<", ">", ".", "|".
Anwendungstyp
Zeigt den Datenquellentyp an, den Sie hinzufügen oder bearbeiten. Dieses Feld dient nur zu Informationszwecken.
Protokoll
Wählen Sie das Verbindungsprotokoll aus.
Host
Zeigt den Hostnamen, die IP-Adresse oder den IP-Namen des Systems
an, auf dem sich die Datenbank befindet. Bei Verwendung einer IPv6Adresse (Internet Protocol Version 6) als Hostname muss die IP-Adresse
das folgende Format haben:
v Wenn Sie die Datenquelle nicht für Usage and Accounting Manager
Web Reporting verwenden, muss die Adresse in eckige Klammern
gesetzt werden. So muss IPv6 address
aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb beispielsweise als
[aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb] angegeben werden.
v Wenn Sie die Datenquelle für Usage and Accounting Manager Web
Reporting verwenden (d. h., die Datenbank wird für das Web-Reporting eingesetzt), werden keine eckigen Klammern verwendet;
stattdessen werden die Doppelpunkte (:) durch Bindestriche (-) ersetzt und ipv6-literal.net an das Ende der Adresse angefügt. So
wird IPv6 address aaaa:bbbb:cccc:dddd:eeee:ffff:aaaa:bbbb beispielsweise als aaaa-bbbb-cccc-dddd-eeee-ffff-aaaa-bbbb.ipv6literal.net angegeben.
Benutzername und Kennwort
Geben Sie die Benutzer-ID und das Kennwort für den Server ein.
Port
Die Standardportnummer wird angezeigt. Sie basiert auf dem ausgewählten Protokoll. Diese Nummer kann geändert werden, wenn Sie
nicht den Standardport verwenden.
Zeitlimit
Das Standardzeitlimit wird angezeigt. Es basiert auf dem ausgewählten
Protokoll. Dieser Wert kann geändert werden, wenn Sie nicht das Standardzeitlimit verwenden.
Eingeschränkte Shell
Aktivieren Sie dieses Kontrollkästchen, wenn es sich bei der Verbindung zum Server um eine Restricted Shell handelt.
Nach der Installation konfigurieren
25
4. Klicken Sie auf OK, um die Datenquelleninformationen zu speichern und zur
Seite 'Verwaltung der Datenquellenliste' zurückzukehren, auf der die neue Datenquelle angezeigt wird.
Anmerkung: Wenn Sie sich vergewissern möchten, ob die Verbindung zum
Server erfolgreich hergestellt wird, klicken Sie auf Testen.
5. Klicken Sie auf Abbrechen, wenn der Vorgang abgebrochen und die Seite 'Datenquellenverwaltung' wieder angezeigt werden soll.
Datenquelle des Typs 'Sonstiges' hinzufügen
Eine Datenquelle des Typs 'Sonstiges' wird für die Verbindung zu DB2-, Oracleoder SQL Server-Datenbanken eingesetzt, die nicht die von Usage and Accounting
Manager unterstützten Standardtreiber verwenden, oder für andere Datenbanktypen wie Sybase oder Microsoft Access. Ein Beispiel für eine Datenquelle dieses
Typs ist beispielsweise eine Datenquelle, die auf eine vom Usage and Accounting
Manager-Datenkollektor 'DBSpace' verwendete Sybase-Datenbank verweist.
Anmerkung: Die Datenquellen für DB2 for Linux, UNIX and Windows-Datenbanken sowie für DB2 for z/OS-, Oracle- oder SQL Server-Datenbanken, die die unterstützten Standardtreiber verwenden (siehe „Usage and Accounting Manager-Datenquellen konfigurieren” auf Seite 20), werden über die Registerkarte CollectorDatenbank erstellt.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenquellen > Sonstiges.
2. Klicken Sie auf der Seite 'Verwaltung der Datenquellenliste' auf Neu.
3. Geben Sie auf der Seite 'Datenquellenverwaltung' folgende Informationen ein:
Name der Datenquelle
Geben Sie den Namen ein, den Sie der Datenquelle zuordnen möchten.
Anmerkung: Die folgenden Zeichen sind ungültige Zeichen für einen
Datenquellennamen: "/", "\", '"', ":", "?", "<", ">", ".", "|".
Benutzername und Kennwort
Geben Sie die Benutzer-ID und das Kennwort für die Datenbank ein.
Treiber
Geben Sie den Namen der Treiberdatei ein. Der Pfad zum Treiber muss
auf der Seite 'Konfiguration - Treiber' konfiguriert sein.
Parameter
Geben Sie die zusätzlichen Parameter ein, die erforderlich sind, um
eine Verbindung zur Datenbank zu aktivieren.
URL
Geben Sie die Informationen zur Datenbankverbindung in Form einer
Datenbank-URL ein. Datenbank-URLs (oder JDBC-URsL) stellen eine
plattformunabhängige Zugriffsmöglichkeit auf eine Datenbank dar. Eine
Datenbank- oder JDBC-URL hat das Format
jdbc:[Unterprotokoll]:[Knoten]/[Datenbankname].
Wenn Sie beispielsweise auf die Datenbank ituamdb1 auf Server
abc.def.com mithilfe des ODBC-Unterprotokolls zugreifen, sieht die
Datenbank-URL wie folgt aus: jdbc:odbc:abc.def.com/ituamdb1. Befindet sich die Datenbank auf demselben Knoten wie der Usage and Accounting Manager-Anwendungsserver, können Sie den Knoten weglassen; Beispiel: jdbc:odbc:ituamdb1.
26
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
4. Klicken Sie auf OK, um die Datenquelleninformationen zu speichern und zur
Seite 'Verwaltung der Datenquellenliste' zurückzukehren, auf der die neue Datenquelle angezeigt wird.
Anmerkung: Wenn Sie sich vergewissern möchten, dass die Verbindung mit
der Datenbank erfolgreich ist, klicken Sie auf Test.
Informationen zur Initialisierung der Datenbank
Mit der Initialisierung wird die Datenbank für die Verwendung durch Usage and
Accounting Manager vorbereitet. Dabei werden alle vorhandenen Daten überschrieben. Wenn versucht wird, eine bereits initialisierte Datenbank zu initialisieren, wird eine Bestätigungsnachricht angezeigt.
Die Initialisierung der Datenbank umfasst folgende Aufgaben:
v Erstellen neuer Datenbanktabellen
v Füllen dieser Tabellen mit einem Anfangsdatensatz
v Erstellen notwendiger Datenbankobjekte
Datenbank initialisieren
Bei der Initialisierung wird die Datenbank für die Verwendung zusammen mit
Usage and Accounting Manager vorbereitet. Dabei werden alle vorhandenen Daten
überschrieben. Beim Versuch, eine bereits initialisierte Datenbank zu initialisieren,
wird eine Bestätigungsnachricht angezeigt.
Wenn Sie für Usage and Accounting Manager mehrere Datenbanken verwenden,
müssen Sie sicherstellen, dass die Datenbank, die initialisiert werden soll, auf Standardeinstellung Admin gesetzt ist. Bei der Initialisierung werden alle vorhandenen
Daten in einer Datenbank, die mit der Datenquelle verbunden ist, überschrieben.
Anmerkung: Wenn die Benutzer-ID, mit der Sie auf die Datenbank zugreifen,
nicht über die entsprechenden Systemverwaltungsrechte verfügt, kann Usage and
Accounting Manager bei der Datenbankinitialisierung unter Umständen keine Datenbankobjekte oder Datenbankobjekte mit den entsprechenden Berechtigungen erstellen. In diesem Fall wird eine Warnung mit der Empfehlung angezeigt, sich zunächst mit dem Datenbankadministrator in Verbindung zu setzen.
1. Klicken Sie in der Administration Console auf Systemkonfiguration > Datenbank > Datenbank initialisieren.
2. Klicken Sie auf der Seite 'Datenbank initialisieren' auf Datenbank initialisieren.
Musterdaten in die Datenbank laden
Sie können mit Hilfe des Scripts RunSamples.bat oder RunSamples.sh (im Verzeichnis <Installationsverzeichnis von Usage and Accounting Manager>\bin) Musterdaten in die Datenbank laden. Diese Scripts führen die Musterjobdateien aus, die
zusammen mit Usage and Accounting Manager im Verzeichnis
<Installationsverzeichnis von Usage and Accounting Manager>\samples\
jobfiles bereitgestellt werden.
Sie müssen die Musterdaten nicht laden. Die RunSamples-Scripts werden nur zum
Überprüfen der Installation und zum Erstellen von Musterdaten verwendet, die in
der Administration Console und in Berichten angezeigt werden können. Sobald in
Nach der Installation konfigurieren
27
Usage and Accounting Manager mit Produktionsdaten gearbeitet wird, sollten die
Musterdaten über die Seite 'Lastverfolgung' in der Administration Console gelöscht
werden.
Bei den RunSamples-Scripts werden die meisten Jobdateien über den Parameter
-date aufgerufen. Der Parameter -date gibt Start- und Enddatum der Ausgabedaten an. Wird der Parameter -date beispielsweise auf 'JJJJ0601' gesetzt (dabei steht
JJJJ für das Jahr), ist das Start- und Enddatum für die Dateien der 1. Juni JJJJ. Für
Jobdateien, die nicht über den Parameter -date aufgerufen werden, werden Startund Enddatum anhand des in der Jobdatei definierten Datums festgelegt.
Mit den folgenden Befehlen wird das Script RunSamples in einer Windows- bzw. einer Linux- oder UNIX-Umgebung ausgeführt:
v Windows: Geben Sie in der Eingabeaufforderung Folgendes ein:
<Installationsverzeichnis von Usage and Accounting Manager>\bin\
RunSamples.bat
v Linux oder UNIX: Geben Sie unter Verwendung eines Shellbefehls
<Installationsverzeichnis von Usage and Accounting Manager>/bin/
RunSamples.sh ein.
Sicherheit - Übersicht
In diesem Abschnitt werden die Sicherheitsfunktionen von Tivoli Usage and Accounting Manager beschrieben.
In Tivoli Usage and Accounting Manager wird Sicherheit über die folgenden Mechanismen realisiert:
v In Tivoli Integrated Portal definierte Benutzerrollen.
v In der Tivoli Usage and Accounting Manager-Anwendung definierte Benutzergruppen.
v Cognos-basierte Tivoli Common Reporting-Sicherheit.
Benutzerrollen/Sicherheitsgruppen
Über die Sicherheitskonfiguration können Sie vorgeben, welche Benutzer auf welche Usage and Accounting Manager-Seiten in der Administration Console zugreifen können. Standardmäßig wird die Sicherheit für Usage and Accounting Manager bei der Installation aktiviert.
Der Zugriff auf die Usage and Accounting Manager-Seiten in der Administration
Console wird über sechs Sicherheitsgruppen gesteuert. Die Sicherheitsgruppen
tcrPortalOperator und iscadmins werden für die Verwaltung von Tivoli Common
Reporting und Tivoli Integrated Portal verwendet. Für den Zugriff auf und die
Verwaltung von Tivoli Common Reporting benötigen Usage and Accounting Manager-Benutzer die Sicherheitsgruppe tcrPortalOperator, für den Zugriff auf und die
Verwaltung von Tivoli Integrated Portal benötigen Usage and Accounting Manager-Benutzer die Sicherheitsgruppe iscadmins.
Tabelle 3.
28
Sicherheitsgruppe
Zugriff auf folgende Seiten
tuamadmin
Alle Seiten
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Tabelle 3. (Forts.)
Sicherheitsgruppe
Zugriff auf folgende Seiten
tuamchargebackadmin
Alle Seiten außer 'Datenbank initialisieren',
'Datenbank-Upgrade', 'Objektmanager',
'Datenbankmanager', 'Tabellenmanager',
'Tabellenanzeiger' und alle untergeordneten
Seiten
tuammaint
'Clients', 'Tarife', 'Tarifgruppen', 'Berichte',
'Berichtsgruppen', 'Berichtsverteilung' und
alle untergeordneten Seiten
tuamtransactions
'Sonstige', 'Wiederholt auftretend' oder 'Verwaltung Kredittransaktionsliste' und alle untergeordneten Seiten
tuamwebreportinguser
Wird von Web Reporting-Benutzern für die
Authentifizierung unter Verwendung einer
zentralen Benutzerregistry verwendet.
tuamwebreportingadmin
'Überschriften', 'Berichte', 'Berichtsgruppen',
'Berichtsverteilung' sowie alle untergeordneten Seiten.
tcrPortalOperator
Alle Seiten in Tivoli Common Reporting.
Dazu andere Seiten wie 'Willkommen', 'My
Startup' (Meine Startseite), 'Credential Store'
(Speicher für Berechtigungsnachweise) und
'Change Your Password' (Kennwort ändern).
iscadmins
Alle Seite in Tivoli Integrated Portal.
Web-Reporting-Rollen zuordnen
Benutzern müssen Web-Reporting-Rollen (Sicherheitsgruppen) zugeordnet werden.
In Zusammenhang mit Web-Reporting sind zwei Rollen erforderlich - die Administratorrolle (tuamwebreportingadmin) und die Benutzerrolle (tuamwebreportinguser). Mit der Administratorrolle werden die Konfigurationsoptionen und Sicherheitseinstellungen für die verschiedenen TUAM-Benutzerrollen definiert, mit der
Benutzerrolle können Benutzer Berichte ausführen und anzeigen. Mit der Benutzerrolle können keine Einstellungen für das Web-Reporting vorgenommen werden.
Wenn Sie Web-Reporting verwenden, muss diese Funktion in Systemkonfiguration
> Usage and Accounting-Konfiguration -> Berichterstellung aktiviert werden. Benutzer mit der Administratorrolle können das Web-Reporting aktivieren.
Benutzer zu Sicherheitsgruppen hinzufügen
In diesem Abschnitt wird beschrieben, wie Benutzer den Usage and Accounting
Manager-Sicherheitsgruppen hinzugefügt werden.
1. Klicken Sie in der Administration Console auf Users and Groups > User Roles
(Benutzer und Gruppen > Benutzerrollen).
2. Klicken Sie auf der Seite User Roles (Benutzerrollen) auf Suche, um alle Benutzer anzuzeigen, oder geben Sie eine Benutzer-ID ein und klicken Sie auf Suche,
um einen bestimmten Benutzer in der zentralen Benutzerregistry abzurufen.
3. Klicken Sie auf den Benutzer, dem eine Rolle zugewiesen werden soll.
4. Wählen Sie die Rolle bzw. Rollen aus, die dem Benutzer zugeordnet werden
sollen:
v tuammaint
Nach der Installation konfigurieren
29
v
v
v
v
v
tuamchargebackadmin
tuamadmin
tuamtransactions
tuamwebreportinguser
tuamwebreportingadmin
v tcrPortalOperator
v iscadmins
5. Klicken Sie auf Sichern. Die Konfiguration wird direkt in der Masterkonfiguration gespeichert.
In Tivoli Usage and Accounting Manager definierte Benutzergruppen
Ein Benutzer ist eine Einzelperson mit Zugriffsrechten auf die webbasierten Anwendungen von Usage and Accounting Manager. Jeder Benutzer kann nur einer
einzigen Benutzergruppe angehören. Benutzer erhalten die Rechte und Berechtigungen, die der Gruppe erteilt werden.
Weitere Informationen zu Benutzern und Gruppen in Tivoli Usage and Accounting
Manager finden Sie im Abschnitt Benutzer und Gruppen definieren.
Cognos-basierte Tivoli Common Reporting-Sicherheit
Die folgenden Abschnitte enthalten Informationen zu den Sicherheitseinstellungen
für Common Reporting.
Anmerkung: Die Sicherheit in Common Reporting in Zusammenhang mit dem
Berichtswesen wird in Cognos verwaltet. Die Sicherheitsfunktionen für Web Reporting gelten nicht für Common Reporting.
Sicherheitsberechtigungen konfigurieren
Sie können striktere Sicherheitseinstellungen für die Cognos-basierten Tivoli Common Reporting-Benutzerberechtigungen definieren. Standardmäßig haben alle Benutzer, die erstellt werden (einschließlich der Benutzer, die während der Installation erstellt werden) vollständige Administratorberechtigungen. Dies können Sie in
der Administration Console ändern.
Weitere Informationen zu den Sicherheitseinstellungen für Berechtigungen in Tivoli
Common Reporting Version 2.1 finden Sie im Handbuch Cognos Administration
and Security.
Standardmäßig werden alle neuen Benutzer, die für das Portlet 'Common Reporting' erstellt werden, der Benutzergruppe Everyone zugeordnet, bei der es sich
um eine Untergruppe von System Administrators handelt. Wenn die Sicherheit für
Ihre Lösung zur Berichterstellung erhöht werden soll, müssen Sie die Benutzergruppe System Administrators entsprechend bearbeiten, indem Sie ihr den verantwortlichen Administrator hinzufügen und die Benutzergruppe Everyone aus ihr
entfernen.
1. Melden Sie sich in Tivoli Integrated Portal an:
a. Navigieren Sie zu der folgenden URL: http://Hostname:Port/ibm/console.
Die Standard-URL ist http://localhost:16310/ibm/console. Ersetzen Sie
Hostname durch den TCP/IP-Hostnamen des Systems, auf dem Tivoli Com-
30
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
mon Reporting installiert ist, oder durch localhost, wenn der Web-Browser
auf demselben System aktiv ist. Ersetzen Sie Port durch die bei der Installation angegebene Portnummer.
Tipp: Auf Windows-Systemen, auf denen Tivoli Common Reporting lokal
installiert ist, können Sie auf Start > Tivoli Common Reporting > Launch
Reporting Browser (Berichtsbrowser starten) klicken, um den Standardbrowser mit der korrekten URL zu öffnen.
b. Melden Sie sich auf der Anmeldeseite von Tivoli Integrated Portal mit einer
Benutzer-ID an, die Zugriff auf Tivoli Common Reporting hat. Der Zugriff
wird über die den Benutzer-IDs zugeordneten Benutzerrollen gesteuert. Dabei kann es sich um das Benutzer-ID/Kennwort-Paar handeln, das bei der
Installation angegeben wurde, oder um ein Benutzer-ID/Kennwort-Paar, das
Ihnen vom Administrator zugewiesen wurde. Das Navigationsfenster von
Tivoli Integrated Portal wird geöffnet.
2.
3.
4.
5.
Tipp: Für den Zugriff auf die Berichtsschnittstelle ist nur einmal eine Anmeldung erforderlich. Für die beiden Berichtsoptionen ist Single Sign-on aktiviert.
Klicken Sie auf Berichterstellung > Allgemeine Berichterstellung aus.
Öffnen Sie die Dropdown-Liste Launch (Starten) und wählen Sie 'Administration' (Verwaltung) aus.
Wählen Sie auf der Registerkarte Sicherheit Benutzer, Gruppen und Rollen
und anschießend den Cognos-Benutzernamensbereich aus.
Suchen Sie nach der Gruppe System Administrators und bearbeiten Sie die Eigenschaften dieser Gruppe, indem Sie auf More > Eigenschaften festlegen
(Mehr > Eigenschaften festlegen) klicken.
6. Klicken Sie auf der Registerkarte Mitglieder auf Hinzufügen, um einen Benutzer mit Verwaltungsaufgaben hinzuzufügen.
7. Fügen Sie den gewünschten Benutzer mit Verwaltungsaufgaben aus dem Namensbereich VMMProvider hinzu und klicken Sie auf OK, um die Einstellungen
zu speichern.
8. Entfernen Sie die Gruppe Everyone aus der Gruppe System Administrators, indem Sie das betreffende Kontrollkästchen aktivieren und auf Entfernen klicken.
9. Klicken Sie auf OK, um die Einstellungen zu speichern.
Zugriff auf Berichte einschränken
Sie können die Berechtigungen, die Benutzern oder Benutzergruppen für Berichte
erteilt sind, sowie die Funktionen für Berichte, Berichtsgruppen oder Ordner auf
dieselbe Weise wie mit nativen Cognos-Methoden verwalten. Standardmäßig werden die Berechtigungen und Funktionen, die Benutzern bzw. Berichten zugewiesen
werden, aus dem übergeordneten Eintrag übernommen.
Anmerkung: Bei den hier erwähnten Benutzern und Gruppen handelt es sich um
Tivoli Integrated Portal-Benutzer und -Gruppen (in der zentralen Benutzerregistry),
nicht um Tivoli Usage and Accounting Manager-Benutzer oder -Gruppen.
Sie können die Standardberechtigungen, die Gruppen oder Benutzern für Berichte
oder Berichtspakete zugeordnet sind, ändern. Ebenso können Sie die Funktionen
für Berichte, Berichtsgruppen und Ordner ändern.
1. Melden Sie sich bei Tivoli Integrated Portal an.
2. Wählen Sie in der Administration Console Berichterstellung > Allgemeine Berichterstellung aus.
Nach der Installation konfigurieren
31
3. Navigieren Sie zu dem Bericht, für den Benutzerberechtigungen geändert werden sollen, und wählen Sie ihn aus.
4. Klicken Sie auf Aktionen > Eigenschaften festlegen.
5. Wählen Sie die Registerkarte Berechtigungen aus. Die Tabelle enthält die Berechtigungen für die Benutzergruppen.
6. Aktivieren Sie das Kontrollkästchen Die vom übergeordneten Eintrag erhaltenen Zugriffsberechtigungen überschreiben und wählen Sie die Berechtigungen
aus, die den einzelnen Benutzergruppen erteilt werden sollen.
7. Wählen Sie die Registerkarte Funktionen aus. Die Tabelle enthält die Funktionen, die den Berichten, Berichtsgruppen oder Ordnern zugeordnet sind.
8. Aktivieren Sie das Kontrollkästchen Die vom übergeordneten Eintrag geerbten
Berechtigungen überschreiben mit, um Funktionen zuzuweisen und zu verweigern.
Weitere Informationen zu Berechtigungen und Funktionen finden Sie unter IBM
Cognos Administration and Security - Permissions sowie unter Capabilities.
Windows-Benutzergruppe TUAMUSERS verwenden
Bei der Installation von Usage and Accounting Manager wird die Windows-Benutzergruppe TUAMUSERS erstellt. Diese Gruppe hat Lese- und Schreibzugriff auf die
Verzeichnisse <Installationsverzeichnis von Usage and Accounting
Manager>\server\reportsmsrs2 und <Installationsverzeichnis von Usage and
Accounting Manager>\server\financial_modeler. Diese Verzeichnisse enthalten die
für SQL Server Reporting Services erstellten Usage and Accounting Manager-Berichte sowie die von der Financial Modeler-Anwendung verwendeten Dateien.
Die Gruppe TUAMUSERS enthält die folgenden lokalen Systemaccounts:
v ASPNET (für Windows 2000 Server)
v NT AUTHORITY\NETWORK SERVICE (für Windows Server 2003 und 2008)
Unter welchem dieser lokalen Accounts die Website von Usage and Accounting
Manager Web Reporting aktiv ist, hängt von der Windows-Plattform ab, auf der
der Usage and Accounting Manager-Web-Server eingesetzt wird.
Nach der Installation Verzeichnisse einrichten
Nach der Installation von Usage and Accounting Manager müssen Sie die Verzeichnisse einrichten, in denen die auf den Seiten 'Konfiguration - Verarbeitung'
und 'Konfiguration - Web Reporting' der Administration Console definierten erforderlichen Dateien gespeichert werden.
Im Folgenden sind die Felder auf den Seiten 'Konfiguration - Verarbeitung' und
'Konfiguration - Web Reporting' aufgeführt, in denen die Pfade zu den von Usage
and Accounting Manager verwendeten Verzeichnissen definiert werden. Klicken
Sie auf Systemkonfiguration > Usage and Accounting-Konfiguration, um die
Konfigurationsseiten zu öffnen.
Verzeichnisse, die auf der Seite 'Konfiguration - Verarbeitung' definiert werden
Pfad zum Ordner mit Prozessdefinitionen
Der Verzeichnispfad, der die einzelnen Prozessverzeichnisse enthält. Standardmäßig zeigt der Pfad in diesem Feld auf das Verzeichnis
<Installationsverzeichnis von Usage and Accounting Manager>\samples\
32
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
processes. Prozessverzeichnisse enthalten Verarbeitungsdateien und -daten,
z. B. die Dateien, die während der Datenverarbeitung erstellt werden. Verschieben Sie das Verzeichnis processes in einen anderen Pfad und geben
Sie diesen neuen Pfad ein.
Anmerkung: Sie können das Verzeichnis processes übernehmen oder umbenennen. Aus Gründen der Konsistenz hat das Verzeichnis in diesem Information Center die Bezeichnung processes.
Pfad zum Ordner mit Jobdateien
Der Pfad zu dem Verzeichnis, das die Jobdateien enthält. Eine Jobdatei ist
eine XML-Datei, in der der Ablauf für das Erfassen der Daten und das Laden dieser Daten in eine Usage and Accounting Manager-Datenbank definiert ist. Sie können den Standardpfad übernehmen oder die Jobdateien in
einen anderen Pfad verschieben und diesen Pfad hier eingeben.
Beispiel für Pfad zum Ordner mit Jobdateien
Der Pfad zu dem Verzeichnis, das die Musterjobdateien enthält. Musterjobdateien werden zusammen mit Usage and Accounting Manager im Verzeichnis <Installationsverzeichnis von Usage and Accounting
Manager>\samples\jobfiles bereitgestellt. Sie können den Standardpfad
übernehmen oder die Musterjobdateien in einen anderen Pfad verschieben
und diesen Pfad hier eingeben.
Pfad zum Ordner mit Jobprotokolldateien
Der Pfad zu dem Verzeichnis, das die Jobprotokolldateien enthält. Ein Jobprotokoll stellt Verarbeitungsergebnisse für jeden in der Jobdatei definierten Schritt bereit. Tritt während der Verarbeitung eine Warnung oder ein
Fehler auf, enthält die Datei einen Hinweis auf den Punkt, an dem die
Warnung oder der Fehler auftrat. Sie können den Standardpfad übernehmen oder die Jobprotokolldateien in einen anderen Pfad verschieben und
diesen Pfad hier eingeben.
Pfad der Kollektorprotokolldateien
Der Pfad zu dem Verzeichnis, das die Kollektorprotokolldateien enthält.
Kollektorprotokolldateien sind Dateien für die Nutzungsüberwachung, die
von einigen Usage and Accounting Manager-Datenkollektoren erstellt werden. Diese Dateien für die Nutzungsüberwachung werden von Usage and
Accounting Manager verarbeitet. Standardmäßig zeigt der Pfad in diesem
Feld auf das Verzeichnis <Installationsverzeichnis von Usage and
Accounting Manager>\samples\logs\collectors. Kopieren Sie den Inhalt
des Verzeichnisses samples\logs\collectors in das Verzeichnis
<Installationsverzeichnis von Usage and Accounting Manager>\logs\
collectors; und geben Sie den Pfad hier ein.
Auf der Seite 'Konfiguration - Web Reporting' definierte Verzeichnisse
Anmerkung: Die Optionen in diesem Bereich sind nur verfügbar, wenn Web Reporting installiert oder über die Berichterstellungsseite in der Verwaltungskonsole
aktiviert ist.
Pfad zum Ordner mit Standardberichten
Der Pfad zu dem Verzeichnis, dass die Usage and Accounting ManagerStandardberichte enthält. Standardberichte werden zusammen mit Usage
and Accounting Manager bereitgestellt. In den meisten Fällen müssen Standardberichte an die jeweilige Organisation angepasst werden. Eine Be-
Nach der Installation konfigurieren
33
schreibung der einzelnen Standardberichte finden Sie im Usage and Accounting Manager Information Center.
Sie können den Standardpfad übernehmen oder die Standardberichte in einen anderen Pfad verschieben und diesen Pfad hier eingeben.
Pfad zum Ordner mit angepassten Berichten
Der Pfad zu dem Verzeichnis, das die angepassten Berichte enthält. Dabei
handelt es sich um Berichte, die vom Berichtentwickler entweder selbst
oder auf Basis der zusammen mit Usage and Accounting Manager bereitgestellten Standardberichte erstellt wurden. Angepasste Berichte und Standardberichte (sofern vorhanden) werden Benutzern über die Seiten 'Berichte' oder 'Spreadsheets' von Usage and Accounting Manager Web Reporting
bereitgestellt.
Sie können den Standardpfad übernehmen oder die angepassten Berichte
in einen anderen Pfad verschieben und diesen Pfad hier eingeben.
Pfad zum Ordner mit veröffentlichten Berichten
Der Pfad zu dem Verzeichnis, das die veröffentlichten Berichte enthält.
Dies sind Berichte, die mit den Daten gespeichert wurden, die zum Zeitpunkt der Ausführung der Berichte generiert wurden. Wird ein Bericht veröffentlicht, können Benutzer ihn anzeigen, ohne ihn erneut generieren zu
müssen.
Sie können den Standardpfad übernehmen oder die veröffentlichten Berichte in einen anderen Pfad verschieben und diesen Pfad hier angeben.
Verzeichnisberechtigungen auf einem UNIX- oder Linux-System zuordnen
Damit eine Datei aus einem fernen System an ein Verzeichnis auf einem UNIXoder Linux-System gesendet werden kann, muss eine Schreib- und Leseberechtigung für das Verzeichnis vorhanden sein.
Nehmen wir Folgendes an:
v Das Verzeichnis processes ist auf dem Usage and Accounting Manager-Anwendungsserver wie folgt definiert :
/opt/ibm/tuam/processes
v Der Usage and Accounting Manager-Datenkollektor für UNIX- und Linux-Betriebssystemdaten wurde auf einer fernen Plattform implementiert und der Kollektor soll jede Nacht CSR-Dateien in das Verzeichnis UnixOS auf dem Usage and
Accounting Manager-Anwendungsserver schreiben.
In diesem Szenario können Sie mit dem folgenden Befehl feststellen, ob die ferne
Plattform Dateien in das Verzeichnis UnixOS schreiben kann:
> chmod 777 /opt/ibm/tuam/processes/UnixOS
Dieses Szenario gilt auch, wenn ein Usage and Accounting Manager-Datenkollektor täglich auf einem fernen System Protokolldateien generiert, die in das Verzeichnis für die Protokolldateien des Kollektors auf dem Usage and Accounting Manager-Anwendungsserver übertragen werden sollen. Wenn beispielsweise
Protokolldateien mit AIX-Datensätzen für die erweiterte Abrechnung des Typs 6 an
den Anwendungsserver gesendet werden sollen, müssen Sie den folgenden Befehl
eingeben:
> chmod 777 /opt/ibm/tuam/logs/collectors/AACCT_6
34
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Sicherheits- und Freigabeberechtigungen auf einem WindowsSystem zuordnen
Damit Zugriffsdateien an ein fernes oder lokales System gesendet werden können,
müssen die entsprechenden Sicherheits- oder Freigabeberechtigungen gesetzt sein.
Standardmäßig hat die Gruppe TUAMUSERS Lese- und Schreibzugriff auf die Verzeichnisse <Installationsverzeichnis von Usage and Accounting
Manager>\server\reportsmsrs2 und <Installationsverzeichnis von Usage and
Accounting Manager>\server\financial_modeler. Wenn der Inhalt dieser Verzeichnisse in Verzeichnisse auf demselben Server verschoben werden soll, auf dem sich
auch der Usage and Accounting Manager-Anwendungsserver befindet, müssen Sie
der Gruppe TUAMUSERS Lese- und Schreibsicherheitsberechtigungen für diese Verzeichnisse erteilen. So erteilen Sie diese Berechtigungen:
1. Klicken Sie mit der rechten Maustaste auf das Verzeichnis und klicken Sie auf
Freigabe und Sicherheit.
2. Wählen Sie auf der Registerkarte Security (Sicherheit) im Feld Group or User
Names (Gruppen- oder Benutzernamen) die Gruppe TUAMUSERS aus. (Wird die
Gruppe TUAMUSERS nicht in diesem Feld angezeigt, fügen Sie sie hinzu.)
3. Überprüfen Sie, ob die Gruppe TUAMUSERS über die Mindestberechtigungen Lese- und Schreibzugriff verfügt und klicken Sie auf OK.
Befindet sich das Verzeichnis reportsmsrs2 auf einem anderen als dem Usage and
Accounting Manager-Anwendungsserver, müssen Sie wie folgt vorgehen:
v Ordnen Sie dem Verzeichnis eine Freigabeberechtigung zu, in der die Gruppe
Jeder über die Berechtigung Vollzugriff verfügt.
v Öffnen Sie die Datei <Installationsverzeichnis von Usage and Accounting
Manager>\server\web2\web.config und fügen Sie der Gruppe <system.web> wie
folgt den Eintrag <identity impersonate="true" /> hinzu:
<configuration>
...
<system.web>
<identity impersonate="true" />
...
</system.web>
</configuration>
Das Verzeichnis, in dem die Prozessverzeichnisse gespeichert werden, muss ebenfalls über die Freigabeberechtigung Vollzugriff für die Gruppe Jeder verfügen. Befinden sich die Prozessverzeichnisse beispielsweise im Verzeichnis
<Installationsverzeichnis von Usage and Accounting Manager>\processes, müssen Sie dem Verzeichnis processes eine Freigabeberechtigung zuordnen.
Konfiguration von TUAM-Berichten in Tivoli Common Reporting 2.1
In diesem Abschnitt wird beschrieben, wie das Tivoli Usage and Accounting Manager Cognos-Paket in Tivoli Common Reporting importiert wird. Dazu muss unter
anderem die Datenquellenverbindung erstellt und das Paket manuell mit dem Importtool für das Tivoli Common Reporting-Paket importiert werden.
Voraussetzungen
v Tivoli Common Reporting 2.1 ist installiert.
v Der erforderliche Datenbankclient ist installiert und wurde entsprechend den
Datenbankangaben konfiguriert.
Nach der Installation konfigurieren
35
TUAM Cognos-Paket in Tivoli Common Reporting importieren
In diesem Abschnitt wird beschrieben, wie das TUAM Cognos-Paket in Tivoli
Common Reporting importiert wird. Sie können die Berichtspakete über die Benutzerschnittstelle in Ihren Arbeitsbereich importieren und ein bereits vorhandenes
Berichtsmodell sowie vorhandene Berichte verwenden. Dieser Import ist nur für
Cognos®-Berichte möglich.
Zunächst müssen Sie sicherstellen, dass Tivoli Common Reporting 2.1 installiert ist.
Ebenso muss der entsprechende Datenbankclient installiert und entsprechend den
Datenbankangaben konfiguriert sein. Kopieren Sie die Datei mit dem Berichtspaket
aus <TUAM_INSTALL_PATH>\setup\console\reportscognos\package\TUAM_Reports_73-0.zip in den Ordner <TCR-Komponentenverzeichnis>\cognos\deployment von Tivoli Common Reporting.
Anmerkung: Bei dem Anmeldeaccount für die Konfiguration der Cognos-Datenquelle muss es sich um dieselben Accountdetails wie für den Anmeldeaccount handeln, mit dem das TUAM-Schema initialisiert wird.
1. Melden Sie sich an der Tivoli Usage and Accounting Manager-Schnittstelle an
und wählen Sie Berichterstellung > Allgemeine Berichterstellung aus.
2. Wählen Sie in der Dropdown-Liste Launch (Starten) im rechten Fenster Work
with reports (Mit Berichten arbeiten) die Option Administration (Verwaltung)
aus.
3. Wählen Sie die Registerkarte Konfiguration aus und öffnen Sie den Bereich
Content Administration (Inhaltsadministration).
4. Erstellen Sie einen neuen Paketimport, indem Sie auf
sistent für neue Importe wird geöffnet.
klicken. Der As-
5. Der Assistent führt Sie durch die Erstellung eines neuen Pakets.
Tipp: Weitere Informationen zum Import des TUAM Cognos-Pakets finden Sie
im IBM Cognos 8 Administration and Security Guide 8.4.1.
Das TUAM Cognos-Berichtspaket wird importiert und die TUAM Cognos-Berichte
stehen damit zur Verfügung.
Datenquellenverbindung in Cognos erstellen
In diesem Abschnitt wird erläutert, wie die Datenquellenverbindung erstellt wird.
Die Verbindung zur Datenbank wird von Cognos mithilfe der Datenbankclients
hergestellt, die auf derselben Maschine wie Cognos installiert sind. Soll beispielsweise eine Verbindung zu einer DB2-, SQLServer- oder Oracle-Datenbank hergestellt werden, müssen der entsprechende Datenbankclient installiert und die Angaben für die Datenbank, die verwendet werden soll, konfiguriert werden. Bei
Verwendung von DB2 und Oracle müssen möglicherweise zusätzlich noch einige
Umgebungsvariablen gesetzt werden. Weitere Informationen zu der Datenbank, die
verwendet werden soll, finden Sie im Tivoli Common Reporting 2.1 Infocenter im
Abschnitt über die Konfiguration der Datenbankverbindung.
Im Folgenden wird beschrieben, wie eine Datenbankverbindung für die CognosBerichte erstellt wird.
1. Navigieren Sie im Anschluss an die Installation von Tivoli Common Reporting
2.1 zur Anzeige Allgemeine Berichterstellung und wählen Sie Launch > Administration (Starten > Verwaltung) aus.
36
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
2. Wählen Sie die Registerkarte Konfiguration aus und stellen Sie sicher, dass in
der linken Menüanzeige Data Source Connection (Datenquellenverbindung)
ausgewählt ist.
, um eine neue Datenquelle hinzuzufügen.
3. Klicken Sie auf
4. Geben Sie als Name TUAM SCHEMA ein. Die Angabe einer Beschreibung und einer
QuickInfo ist optional.
5. Klicken Sie auf Weiter, wählen Sie das Datenbankprodukt aus, das verwendet
werden soll (beispielsweise DB2) und klicken Sie auf Weiter.
6. Geben Sie für den im vorherigen Schritt ausgewählten Datenbanktyp den Datenbankaliasnamen wie im Datenbankclient konfiguriert ein.
7. Geben Sie die Anmeldedetails für die Datenbank ein, einschließlich des Kennworts.
Anmerkung: Bei dem Anmeldeaccount für die Konfiguration der Cognos-Datenquelle muss es sich um dieselben Accountdetails wie für den Anmeldeaccount handeln, mit dem das TUAM-Schema initialisiert wird.
8. Sie sollten die Verbindung über den unten in der Anzeige vorhandenen Link
Test the connection... (Verbindung testen) prüfen.
9. War diese Prüfung erfolgreich, klicken Sie auf Fertigstellen.
Sie haben damit eine Datenbankverbindung für die Cognos-Berichte erstellt.
Tivoli Integrated Portal 2.1 konfigurieren
Nach der Installation von Tivoli Integrated Portal können Sie das Programm so
konfigurieren, dass es eine Reihe verschiedener Funktionen ausfüllen kann. Sie
können beispielsweise ein zentrales Benutzerrepository verwenden.
Zentrale Benutzerregistry
Nach der Installation können Sie eine zentrale Benutzerregistry konfigurieren, über
die Sie Benutzer authentifizieren und verwalten können. Sie können eine LDAPServer-Registry oder eine Tivoli Netcool/OMNIbus ObjectServer-Registry (oder
beide Typen von Registry) konfigurieren.
Anmerkung: Wenn Sie einen neuen Benutzer hinzufügen, sollten Sie überprüfen,
ob die Benutzer-ID, die Sie angeben, nicht bereits in einem der Benutzerrepositorys
existiert, um zu vermeiden, dass es zu Problemen kommt, wenn der neue Benutzer
versucht, sich anzumelden.
In einer Netzumgebung, die über eine Benutzerregistry auf einem LDAP-Server
oder auf einem Tivoli Netcool/OMNIbus ObjectServer verfügt, können Sie einen
oder beide Typen verwenden. Eine zentrale Benutzerregistry wird für die folgenden Funktionen benötigt:
v Lastausgleich. Hierbei muss jede Serverinstanz des Tivoli Usage and Accounting
Managers in dem Cluster dasselbe zentrale Benutzerrepository (LDAP-Server
oder ObjectServer) verwenden.
v Single Sign-on. Hierbei werden Benutzer während der Anmeldung und bei jedem Start einer anderen autorisierten Tivoli-Anwendung im zentralen Repository authentifiziert.
Nach der Installation konfigurieren
37
Stellen Sie vor der Konfiguration einer zentralen Benutzerregistry sicher, dass die
Benutzerregistrys, die Sie identifizieren wollen, gestartet wurden und der Zugriff
von dem Computer aus möglich ist, auf dem das Tivoli Usage and Accounting Manager installiert ist.
Achtung: Wenn Tivoli Usage and Accounting Manager mit mehreren zentralen
Benutzerrepositorys konfiguriert ist, können Sie sich nicht anmelden, wenn Tivoli
Usage and Accounting Manager auf ein fernes Benutzerrepository nicht mehr zugreifen kann, auch wenn Ihre Benutzer-ID in einem der anderen Repositorys existiert. Wenn Sie in dieser Situation Zugriff benötigen, müssen Sie WebSphere Application Server-Befehle ausführen, sobald alle Repositorys verfügbar sind, um Zugriff
zu ermöglichen; andernfalls funktionieren die eingebundenen Repositorys nicht
ordnungsgemäß. Weitere Informationen finden Sie unter den folgenden Links.
v http://www-01.ibm.com/support/docview.wss?uid=swg1PK78677
v http://publib.boulder.ibm.com/infocenter/wasinfo/v7r0/index.jsp?topic=/
com.ibm.websphere.web20fep.multiplatform.doc/info/ae/ae/
rxml_atidmgrrealmconfig.html
Externes LDAP-Repository hinzufügen
Nach der Installation können Sie IBM Tivoli Directory Server oder Microsoft Active
Directory Server als LDAP-Repository für das Tivoli Usage and Accounting Manager hinzufügen.
Gehen Sie wie folgt vor, um ein neues LDAP-Repository hinzuzufügen:
1. Melden Sie sich am Tivoli Usage and Accounting Manager an.
2. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
3. Wählen Sie in der Administrationskonsole von WebSphere Application Server
die Option Einstellungen > Globale Sicherheit aus.
4. Wählen Sie in der Liste Verfügbare Realm-Definitionen den Eintrag Zusammengefasste Repositorys aus und klicken Sie auf Konfigurieren.
5. Klicken Sie im Bereich 'Zugehörige Elemente' auf den Link Repositorys verwalten und klicken Sie anschließend auf Hinzufügen, um ein neues LDAPRepository hinzuzufügen.
6. Geben Sie im Feld Repositorykennung eine eindeutige Kennung für das Repository ein. Die Kennung identifiziert das Repository eindeutig innerhalb der
Zelle. Ein Beispiel ist LDAP1.
7. Wählen Sie in der Liste Verzeichnistyp den Typ des LDAP-Servers aus. Der
Typ des LDAP-Servers legt die von WebSphere Application Server verwendeten Standardfilter fest.
Anmerkung: Benutzer von IBM Tivoli Directory Server können als Verzeichnistyp die Optionen 'IBM Tivoli Directory Server' oder 'SecureWay' auswählen.
Verwenden Sie aus Gründen der besseren Leistung den Verzeichnistyp 'IBM
Tivoli Directory Server'.
8. Geben Sie im Feld Name des primären Hosts den vollständig qualifizierten
Hostnamen des primären LDAP-Servers ein. Der Name des primären Hosts
und der definierte Name (DN) dürfen keine Leerzeichen enthalten. Sie können
die IP-Adresse oder den DNS-Namen (DNS - Domain Name System) angeben.
9. Geben Sie im Feld Port den Server-Port des LDAP-Verzeichnisses ein.
Der Hostname und die Portnummer stellen in einer Zelle mit Knoten mit verschiedenen Versionen den Realm für diesen LDAP-Server dar. Wenn die Ser-
38
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
ver in verschiedenen Zellen unter Verwendung von LTPA-Token (LTPA Lightweight Third Party Authentication) miteinander kommunizieren, müssen
diese Realms in allen Zellen genau übereinstimmen.
Anmerkung:
Der Standardwert für den Port ist 389. Dies dies kein Port für eine SSL-Verbindung (SSL - Secure Sockets Layer). Verwenden Sie für eine SSL-Verbindung
den Port 636. Für bestimmte LDAP-Server können Sie einen anderen Port angeben. Wenn Sie den zu verwendenden Port nicht kennen, sollten Sie sich an
Ihren LDAP-Serveradministrator wenden.
10. Optional: Geben Sie in den Feldern Bind-DN und Bind-Kennwort den definierten Namen (Distinguished Name - DN) für die Bindung (z. B. cn=root)
und das Kennwort ein.
Anmerkung: Der definierte Name für die Bindung (Bind-DN) ist für Schreiboperationen oder zum Abrufen von Benutzer- und Gruppeninformationen erforderlich, wenn auf dem LDAP-Server keine anonymen Bindungen möglich
sind. In den meisten Fällen sind ein definierter Name für die Bindung und ein
Kennwort für die Bindung (Bind-Kennwort) erforderlich, es sei denn, eine anonyme Bindung kann alle erforderlichen Funktionen erfüllen. Lassen Sie diese
Felder daher leer, wenn der LDAP-Server für die Verwendung anonymer Bindungen eingerichtet ist.
11. Optional: Geben Sie im Feld Anmeldemerkmale die Namen der Eigenschaften
an, die zum Anmelden an WebSphere Application Server verwendet werden.
In diesem Feld können mehrere Anmeldeeigenschaften eingegeben werden,
die durch Semikolons (;) voneinander getrennt werden müssen. Beispiel: cn.
12. Optional: Wählen Sie in der Liste Zertifikatzuordnung den gewünschten Modus für die Zertifikatzuordnung aus. Wenn LDAP als Repository ausgewählt
ist, können Sie für die Benutzerauthentifizierung X.509-Zertifikate auswählen.
Anmerkung: Das Feld Zertifikatzuordnung wird verwendet, um anzugeben,
ob die X.509-Zertifikate einem LDAP-Verzeichnisbenutzer mithilfe von
EXACT_DN oder von CERTIFICATE_FILTER zugeordnet werden sollen. Wenn Sie
EXACT_DN auswählen, muss der DN im Zertifikat genau mit dem Benutzereintrag im LDAP-Server übereinstimmen, wobei auch Leerzeichen und die
Groß-/Kleinschreibung beachtet werden.
13. Klicken Sie auf OK.
14. Klicken Sie im Bereich 'Nachrichten' oben auf der Seite Globale Sicherheit auf
den Link Speichern und melden Sie sich von der WebSphere Application Server-Konsole ab.
Konfigurieren Sie den Tivoli Integrated Portal-Server für die Kommunikation mit
einem externen LDAP-Repository.
Zugehörige Tasks
„Single Sign-on konfigurieren” auf Seite 43
Mit diesen Anweisungen können Sie die Single Sign-on-Unterstützung einrichten
und ein zusammengefasstes Repository konfigurieren.
LDAP-Benutzer in der Konsole verwalten
Damit Sie Benutzer, die im LDAP-Repository definiert sind, in der Verwaltungskonsole erstellen oder verwalten können, müssen Sie die unterstützten Entitätstypen in der Administrationskonsole von WebSphere Application Server angeben.
Nach der Installation konfigurieren
39
Gehen Sie wie folgt vor, um LDAP-Benutzer in der Verwaltungskonsole zu erstellen und zu verwalten:
1. Melden Sie sich am Tivoli Usage and Accounting Manager an.
2. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
3. Wählen Sie in der Administrationskonsole von WebSphere Application Server
die Option Einstellungen > Globale Sicherheit aus.
4. Wählen Sie in der Liste Verfügbare Realm-Definitionen den Eintrag Zusammengefasste Repositorys aus und klicken Sie auf Konfigurieren.
5. Klicken Sie im Bereich 'Weitere Merkmale' auf Unterstützte Entitätstypen.
6. Klicken Sie in der Spalte 'Entitätstyp' auf den Link Gruppe, um die zugehörige Eigenschaftenseite anzuzeigen.
7. Geben Sie im Feld Basiseintrag für den übergeordneten Standardeintrag einen Basiseintrag für Ihre LDAP-Konfiguration ein, z. B. o=ibm,c=us.
8. Geben Sie im Feld Merkmale für relativen DN denselben Wert ein, den Sie
auch im Feld Basiseintrag für den übergeordneten Standardeintrag angegeben haben, z. B. o=ibm,c=us.
9. Klicken Sie auf OK, um zur Seite 'Unterstützte Entitätstypen' zurückzukehren.
10. Bearbeiten Sie die Entitäten OrgContainer und PersonAccount mit denselben
Werten, die Sie für die Entität Group angegeben haben (beispielsweise
o=ibm,c=us).
11. Klicken Sie im Bereich 'Nachrichten' oben auf der Seite Globale Sicherheit auf
den Link Speichern und melden Sie sich von der WebSphere Application Server-Konsole ab.
12. Stoppen Sie den Tivoli Integrated Portal-Server und starten Sie ihn erneut, damit die Änderungen wirksam werden. In einer Umgebung mit Lastausgleich
müssen Sie jede Instanz des Tivoli Integrated Portal-Servers stoppen und erneut starten.
Sie können nun die Benutzer des LDAP-Repositorys verwalten. Verwenden Sie
dazu den Menüpunkt Benutzer und Gruppen > Benutzer verwalten in der Verwaltungskonsole.
SSL-Verbindung zu einem LDAP-Server konfigurieren
Wenn Ihre Implementierung des Tivoli Usage and Accounting Managers ein externes LDAP-basiertes Benutzerrepository (wie beispielsweise Microsoft Active Directory) umfasst, können Sie es für die Kommunikation über einen sicheren SSL-Kanal
konfigurieren.
Bei dieser Task wird angenommen, dass Sie bereits eine Verbindung zu einem
LDAP-Server eingerichtet haben.
Ihr LDAP-Server (beispielsweise IBM Tivoli Directory Server Version 6 oder ein
Microsoft Active Directory-Server) muss so konfiguriert sein, dass er SSL-Verbindungen akzeptieren kann, und muss auf einer gesicherten Portnummer (636) ausgeführt werden. Als Teil dieser Task muss ein Unterzeichnerzertifikat vom LDAPServer in den Truststore des Tivoli Integrated Portal-Servers importiert werden.
Falls Sie dieses Unterzeichnerzertifikat noch erstellen müssen, finden Sie weitere
Informationen in der Dokumentation für den LDAP-Server.
40
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Gehen Sie wie folgt vor, um den Tivoli Integrated Portal-Server für die Kommunikation mit einem externen LDAP-Repository über einen sicheren (SSL) Kanal zu
konfigurieren. Alle Anwendungsserverinstanzen müssen für den LDAP-Server konfiguriert sein.
1. Melden Sie sich an der Verwaltungskonsole an.
2. Führen Sie die folgenden Schritte aus, um das Unterzeichnerzertifikat des
LDAP-Servers in den Truststore des Anwendungsservers zu importieren:
a. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
b. Klicken Sie im Navigationsfenster der Administrationskonsole von WebSphere Application Server auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
c. Klicken Sie im Bereich 'Zugehörige Elemente' auf den Link Keystores und
Zertifikate. Klicken Sie anschließend in der Tabelle auf den Link NodeDefaultTrustStore.
d. Klicken Sie im Bereich 'Weitere Merkmale' auf den Link Unterzeichnerzertifikate und klicken Sie anschließend auf die Schaltfläche Aus Port abrufen.
e. Geben Sie in den entsprechenden Federn den Hostnamen, den Port (normalerweise 636 für SSL-Verbindungen), die Details der SSL-Konfiguration und
den Aliasnamen des Zertifikats für den LDAP-Server ein und klicken Sie
auf die Schaltfläche Unterzeichnerdaten abrufen und anschließend auf OK.
3. Führen Sie die folgenden Schritte aus, um die SSL-Kommunikation mit dem
LDAP-Server zu aktivieren:
a. Klicken Sie im Navigationsteilfenster auf Sicherheit > Sichere Verwaltung,
Anwendungen und Infrastruktur.
b. Wählen Sie in der Dropdown-Liste Verfügbare Realm-Definitionen den
Eintrag Zusammengefasste Repositorys aus und klicken Sie auf Konfigurieren.
c. Wählen Sie in der Dropdown-Liste Repository den LDAP-Server aus.
d. Wählen Sie das Kontrollkästchen SSL-Kommunikation erforderlich und die
Option Zentral verwaltet aus.
e. Klicken Sie auf OK.
4. Speichern und stoppen Sie alle Instanzen des Tivoli Integrated Portal-Servers
und starten Sie sie erneut, damit die Änderungen wirksam werden.
Soll Single Sign-on (SSO) aktiviert werden, sodass sich Benutzer nur ein Mal anmelden und dann andere Anwendungen ohne erneute Authentifizierung starten
können, konfigurieren Sie SSO.
SSL-Verbindung zu ObjectServer konfigurieren
In Umgebungen mit einer Tivoli Netcool/OMNIbus ObjectServer-Benutzerregistry
müssen Sie die verschlüsselte Datenübertragung auf dem Tivoli Integrated PortalServer konfigurieren.
Gehen Sie wie folgt vor, um einen sicheren Kanal für die Datenübertragung zwischen dem Tivoli Integrated Portal-Server und dem ObjectServer zu erstellen.
1. Rufen Sie die Zertifikatsinformationen für ObjectServer wie folgt ab:
a. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
Nach der Installation konfigurieren
41
b. Klicken Sie im Navigationsfenster der Administrationskonsole von WebSphere Application Server auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
c. Klicken Sie auf der Seite 'Verwaltung von SSL-Zertifikaten und Schlüsseln'
auf Keystores und Zertifikate. Klicken Sie auf der angezeigten Seite auf
NodeDefaultTrustStore.
d. Klicken Sie auf der Seite 'NodeDefaultTrustStore' auf Unterzeichnerzertifikat. Klicken Sie auf der angezeigten Seite auf Aus Port abrufen.
e. Geben Sie in den entsprechenden Feldern Werte für Host, Port und Aliasname für ObjectServer ein und klicken Sie auf Unterzeichnerdaten abrufen.
Die Unterzeichnerdaten werden abgerufen und gespeichert. Nachdem die
Unterzeichnerdaten abgerufen wurden, werden die folgenden Details angezeigt:
Seriennummer
Gibt die Seriennummer des Zertifikats an, die vom Aussteller des
Zertifikats generiert wurde.
Ausgestellt für
Gibt den definierten Namen (DN) der Entität an, für die das Zertifikat ausgestellt wurde.
Ausgestellt von
Gibt den definierten Namen (DN) der Entität an, die das Zertifikat
ausgestellt hat. Dieser Name ist mit dem definierten Namen für
'Ausgestellt für' identisch, wenn das Unterzeichnerzertifikat selbst
signiert ist.
Elektronischer Fingerabdruck (SHA-Digest)
Gibt den SHA-Hash-Wert (SHA - Secure Hash Algorithm) des Zertifikats an, mit dem der Hash-Wert des Zertifikats an einer anderen
Position, beispielsweise der Clientseite einer Verbindung, geprüft
werden kann.
Gültigkeitszeitraum
Gibt das Verfallsdatum des abgerufenen Unterzeichnerzertifikats für
Validierungszwecke an.
2. Öffnen Sie in einem Texteditor die Datei tip-Ausgangsverzeichnis/profiles/
TIPProfile/etc/com.sybase.jdbc3.SybDriver.props und ändern Sie die folgenden Parameter:
a. SSL für den primären ObjectServer-Host aktivieren: USESSLPRIMARY=TRUE
b. SSL für den ObjectServer-Ausweichhost aktivieren: USESSLBACKUP=TRUE
3. Stoppen Sie den Anwendungsserver und starten Sie ihn anschließend erneut.
Weitere Informationen zum Stoppen und Starten des Anwendungsservers finden Sie im Abschnitt Anwendungsserver stoppen und starten.
42
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Single Sign-on
Mit der SSO-Funktion (SSO - Single Sign-on) in Tivoli-Produkten können Sie sich
bei einer Tivoli-Anwendung anmelden und dann andere webbasierte oder webfähige Tivoli-Anwendungen starten, ohne Ihre Benutzerberechtigungsnachweise erneut
eingeben zu müssen.
Das Repository für die Benutzer-IDs kann die Tivoli Netcool/OMNIbus ObjectServer-Registry oder eine LDAP-Registry (LDAP - Lightweight Directory Access Protocol) sein. Ein Benutzer meldet sich an einer der teilnehmenden Anwendungen
an, wobei seine Berechtigungsnachweise in einem zentralen Repository authentifiziert werden. Sobald die Berechtigungsnachweise an einem zentralen Standort authentifiziert worden sind, kann der Benutzer von einer Anwendung zu einer anderen wechseln, um zugehörige Daten anzuzeigen oder um Aktionen auszuführen.
Single Sign-on kann zwischen Anwendungen stattfinden, die auf Tivoli Integrated
Portal-Servern auf mehreren Maschinen implementiert sind.
Für die Single Sign-on-Funktionalität müssen die betroffenen Produkte Lightweight
Third Party Authentication (LTPA) als Authentifizierungsverfahren verwenden.
Wenn SSO aktiviert wird, wird ein Cookie erstellt, das das LTPA-Token enthält und
das in die HTTP-Antwort eingefügt wird. Wenn der Benutzer auf andere Webressourcen (Portlets) in einem beliebigen anderen Anwendungsserverprozess in derselben DNS-Domäne (DNS - Domain Name Service) zugreift, wird das Cookie zusammen mit der Anforderung gesendet. Das LTPA-Token wird dann aus dem
Cookie extrahiert und überprüft. Findet die Anforderung zwischen verschiedenen
Zellen von Anwendungsservern statt, müssen Sie die LTPA-Schlüssel und die Benutzerregistry in den Zellen gemeinsam nutzen, damit SSO funktioniert. Bei den
Realmnamen auf jedem System in der SSO-Domäne muss die Groß-/
Kleinschreibung beachtet werden und sie müssen exakt übereinstimmen. Weitere
Informationen finden Sie im Abschnitt LTPA-Schlüssel aus mehreren Zellen von
WebSphere Application Server verwalten im WebSphere Application Server Information Center.
Single Sign-on konfigurieren
Mit diesen Anweisungen können Sie die Single Sign-on-Unterstützung einrichten
und ein zusammengefasstes Repository konfigurieren.
Die Konfiguration von Single Sign-on (SSO) ist eine Voraussetzung für die Integration von Produkten, die auf mehreren Servern implementiert sind. Alle Instanzen
des Tivoli Integrated Portal-Servers müssen auf die zentrale Benutzerregistry (z. B.
einen Lightweight Directory Access Protocol-Server) verweisen.
Achtung: Die Unterstützung für Single Sign-on (SSO) bei ITM wird nur mit ITM
Version 6.2 Fixpack 1 oder einer höheren Version bereitgestellt.
Gehen Sie wie folgt vor, um die WebSphere-Funktion 'Zusammengefasste Repositorys' für LDAP zu konfigurieren:
1. Melden Sie sich an der Tivoli Integrated Portal an.
2. Klicken Sie im Navigationsfenster auf Einstellungen > Websphere-Administrationskonsole und klicken Sie auf Websphere-Administrationskonsole starten.
3. Klicken Sie im Navigationsfenster der WebSphere Application Server-Administrationskonsole auf Sicherheit > Globale Sicherheit.
4. Erweitern Sie den Eintrag Websicherheit im Bereich Authentifizierung und
klicken Sie auf Single Sign-on.
Nach der Installation konfigurieren
43
5. Klicken Sie auf die Option Aktiviert, wenn SSO inaktiviert ist.
6. Klicken Sie auf Erfordert SSL, wenn alle Anforderungen erwartungsgemäß
HTTPS verwenden.
7. Geben Sie im Feld Domänenname die vollständig qualifizierten Namen der
Domänen ein, in denen SSO aktiviert ist. Ist ein Domänenname nicht vollständig qualifiziert, setzt der Tivoli Integrated Portal-Server keinen Domänennamenwert für das Cookie LtpaToken, sodass SSO nur für den Server gilt, der
das Cookie erstellt hat. Damit SSO übergreifend in allen Tivoli-Anwendungen
verwendet werden kann, müssen die Server der Anwendungen in derselben
Domäne installiert sein (verwenden Sie denselben Domänennamen).
8. Optional: Wählen Sie die Option Interoperabilitätsmodus aus, wenn die Interoperabilität der SSO-Verbindungen in WebSphere Application Server Version
5.1.1 oder höher mit früheren Versionen des Anwendungsservers unterstützt
werden soll.
9. Optional: Wählen Sie die Option Weitergabe der Sicherheitsattribute für eingehende Webanforderungen aus, wenn Informationen, die während der Anmeldung an einem bestimmten Tivoli Enterprise Portal Server hinzugefügt
wurden, an andere Instanzen des Anwendungsservers weitergegeben werden
sollen.
10. Klicken Sie auf OK, um Ihre Änderungen zu speichern, stoppen Sie alle Instanzen des Tivoli Integrated Portal-Servers und starten Sie sie erneut.
Anmerkung: Wenn Sie das Tivoli Usage and Accounting Manager starten, müssen
Sie eine URL im folgenden Format verwenden: protokoll://host.domäne:port /*.
Wenn Sie keinen vollständig qualifizierten Domänennamen verwenden, kann das
Tivoli Usage and Accounting Manager kein SSO zwischen Tivoli-Produkten verwenden.
Vaultschlüsseldatei schützen
Damit der Verschlüsselungsschlüssel für das Administratorkennwort sicher bleibt,
sollten Sie strengen Lesezugriff für die Vaultschlüsseldatei einrichten.
Die Tivoli Integrated Portal-Administrator-ID (Standardwert tipadmin), die während der Installation erstellt wurde, benötigt Zugriff auf die Vaultschlüsseldatei,
damit Tivoli Integrated Portal-Anwendungen ordnungsgemäß funktionieren.
Der Vaultschlüssel ist ein Verschlüsselungsschlüssel, mit dem das während der Installation angegebene Administratorkennwort verschlüsselt wird und der für Tivoli
Integrated Portal-Anwendungen lokal gespeichert wird. Führen Sie die folgenden
Schritte aus, um den Zugriff auf die Datei einzuschränken:
1. Öffnen Sie auf dem Computer, auf dem der Anwendungsserver installiert ist,
das Verzeichnis installationsverzeichnis/_uninst/TIPInstall22.
2. Verwenden Sie die von Ihrem Betriebssystem bereitgestellte Methode, um sicherzustellen, dass die Datei .vault.key über Lesezugriff verfügt.
Unter Windows beispielsweise sind die Attribute für das Verzeichnis TIPInstall22
bereits auf Schreibgeschützt gesetzt. Die Attribute für die Datei .vault.key sind
auf Schreibgeschützt und Versteckt gesetzt.
44
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Zugriff für HTTP und HTTPS konfigurieren
Der Anwendungsserver benötigt standardmäßig HTTPS-Zugriff (HTTPS - Hypertext Transfer Protocol Secure). Wenn sich Benutzer auch ohne Verschlüsselung der
übertragenen Daten (einschließlich der Benutzer-ID und des Kennworts) an der
Konsole anmelden und die Konsole verwenden können sollen, müssen Sie die Umgebung für die Unterstützung des HTTP- und des HTTPS-Modus konfigurieren.
Melden Sie sich nach der Installation des Tivoli Usage and Accounting Managers
und vor dieser Prozedur an der Verwaltungskonsole an, um sicherzustellen, dass
sie über eine Verbindung verfügt und erfolgreich gestartet werden kann.
Zur Konfiguration des HTTP- und HTTPS-Konsolzugriffs gehört die Bearbeitung
der Datei web.xml der Webkomponenten. Gehen Sie wie folgt vor, um die entsprechenden Web-XML-Dateien zu identifizieren und zu bearbeiten:
1. Wechseln Sie in das folgende Verzeichnis: tip-Ausgangsverzeichnis/profiles/
TIPProfile/config/cells/TIPCell/applications.
2. Suchen Sie die Dateien web.xml in den folgenden Verzeichnissen unterhalb dieser Position:
v Für das Webanwendungsarchiv von Integrated Solutions Console:
isclite.ear/deployments/isclite/isclite.war/WEB-INF
v Für Tivoli Common Reporting: tcr.ear/deployments/tcr/
rptviewer_v1.2.0.war/WEB-INF
v Für das Webanwendungsarchiv von Tivoli Common Reporting:
isclite.ear/deployments/isclite/rptwebui_v1.2.0.war/WEB-INF
v Für das Webanwendungsarchiv von Tivoli Integrated Portal Charts:
isclite.ear/deployments/isclite/TIPChartPortlet.war/WEB-INF
v Für das Webanwendungsarchiv von Tivoli Integrated Portal Change Password: isclite.ear/deployments/isclite/TIPChartPortlet.war/WEB-INF
3. Öffnen Sie eine der Dateien web.xml in einem Texteditor.
4. Suchen Sie das Element <transport-guarantee>. Der Anfangswert für alle Elemente <transport-guarantee> ist CONFIDENTIAL, was bedeutet, dass sicherer Zugriff immer erforderlich ist.
5. Ersetzen Sie die Einstellung durch NONE, um HTTP- und HTTPS-Anforderungen
zu ermöglichen. Das Element sieht jetzt wie folgt aus: <transportguarantee>NONE</transport-guarantee>.
6. Speichern Sie die Datei und wiederholen Sie dann diese Schritte für die anderen Implementierungsdateien web.xml.
7. Stoppen Sie den Anwendungsserver und starten Sie ihn erneut.
Im folgenden Beispiel wird ein Abschnitt der Datei web.xml für TIPChangePasswd
dargestellt, in dem der Parameter 'transport-guarantee' auf NONE gesetzt ist:
<security-constraint>
<display-name>
ChangePasswdControllerServletConstraint</display-name>
<web-resource-collection>
<web-resource-name>ChangePasswdControllerServlet</web-resource-name>
<url-pattern>/*</url-pattern>
</web-resource-collection>
<auth-constraint>
<description>Roles</description>
<role-name>administrator</role-name>
<role-name>operator</role-name>
<role-name>configurator</role-name>
<role-name>monitor</role-name>
Nach der Installation konfigurieren
45
<role-name>iscadmins</role-name>
</auth-constraint>
<user-data-constraint>
<transport-guarantee>NONE</transport-guarantee>
</user-data-constraint>
</security-constraint>
Je nach Zugriffsmodus müssen die Benutzer jetzt einen anderen Port angeben. Die
standardmäßigen Portnummern lauten wie folgt:
http://<hostname>:16310/ibm/console
Verwenden Sie den HTTP-Port, um sich bei Tivoli Integrated Portal am
HTTP-Port anzumelden.
https://<host_name>:16311/ibm/console
Verwenden Sie den sicheren HTTPS-Port, um sich bei Tivoli Integrated Portal anzumelden.
Anmerkung: Wenn Sie Single Sign-on (SSO) verwenden wollen, müssen Sie den
vollständig qualifizierten Domänennamen des Tivoli Integrated Portal-Hosts verwenden.
FIPS aktivieren
Sie können Tivoli Integrated Portal-Server für die Verwendung von Java Secure Socket Extension-Dateien für Federal Information Processing Standard (FIPS) konfigurieren.
Gehen Sie wie folgt vor, um FIPS 140–2 für den Tivoli Integrated Portal-Server zu
aktivieren.
1. Konfigurieren Sie den Anwendungsserver für die Verwendung von FIPS.
a. Melden Sie sich am Tivoli Usage and Accounting Manager an.
b. Klicken Sie im Navigationsfenster auf Einstellungen > Websphere-Administrationskonsole und klicken Sie auf Websphere-Administrationskonsole
starten.
c. Klicken Sie im Navigationsfenster der Administrationskonsole von WebSphere Application Server auf Sicherheit > Verwaltung von SSL-Zertifikaten und Schlüsseln.
d. Wählen Sie die Option Die FIPS-Algorithmen (Federal Information Processing Standard) verwenden aus und klicken Sie auf Anwenden. Diese Option macht IBMJSSE2 und IBMJCEFIPS zu den aktiven Providern.
2. Konfigurieren Sie den Anwendungsserver für die Verwendung von FIPS-Algorithmen für Java-Clients, die auf Enterprise-Beans zugreifen müssen:
a. Öffnen Sie in einem Texteditor die Datei tip-Ausgangsverzeichnis/
profiles/TIPProfile/properties/ssl.client.props.
b. Ersetzen Sie den Wert false der Eigenschaft com.ibm.security.useFIPS
durch true.
3. Konfigurieren Sie den Anwendungsserver für die Verwendung von FIPS-Algorithmen für SOAP-basierte Verwaltungsclients, die auf Enterprise-Beans zugreifen müssen:
a. Öffnen Sie in einem Texteditor die Datei tip-Ausgangsverzeichnis/
profiles/TIPProfile/properties/soap.client.props.
b. Fügen Sie folgende Zeile hinzu: com.ibm.ssl.contextProvider=IBMJSSEFIPS.
4. Konfigurieren Sie java.security, um IBMJCEFIPS zu aktivieren:
46
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
a. Öffnen Sie in einem Texteditor die Datei tip-Ausgangsverzeichnis/java/
jre/lib/security/java.security.
b. Fügen Sie den Provider IBMJCEFIPS (com.ibm.crypto.fips.provider.IBMJCEFIPS) vor dem Provider IBMJCE ein und ändern Sie entsprechend die
Nummerierung der anderen Provider in der Liste. Der Provider IBMJCEFIPS muss sich in der java.security-Dateiproviderliste befinden. Siehe das
Beispiel am Ende dieses Abschnitts.
5. Aktivieren Sie in Ihrem Browser die Verwendung von Transport Layer Security
(TLS) 1.0:
a. Microsoft Internet Explorer: Öffnen Sie den Internet Explorer und klicken
Sie auf Extras > Internetoptionen. Wählen Sie auf der Registerkarte Erweitert die Option TLS 1.0 verwenden aus.
b. Firefox: TLS 1.0 ist standardmäßig aktiviert.
6. Exportieren Sie die Lightweight Third Party Authentication-Schlüssel, sodass
Anwendungen, die diese LTPA-Schlüssel verwenden, neu konfiguriert werden
können.
a. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
b. Wählen Sie in der Administrationskonsole von WebSphere Application Server die Option Einstellungen > Globale Sicherheit aus.
c. Klicken Sie im Bereich 'Authentifizierung' der Seite 'Globale Sicherheit' auf
den Link LTPA.
d. Geben Sie unter Zellenübergreifendes Single Sign-on eine Schlüsseldatei
sowie einen Dateinamen und ein Kennwort für die Datei an, die die exportierten LTPA-Schlüssel enthalten soll.
e. Klicken Sie auf Schlüssel exportieren. Standardmäßig wird die exportierte
Datei im Verzeichnis tip-Ausgangsverzeichnis/profiles/TIPProfile/ gespeichert.
7. Konfigurieren Sie alle Anwendungen, die LTPA-Schlüssel des Tivoli Integrated
Portal-Servers verwenden, neu. Um den Tivoli-SSO-Service entsprechend den
aktualisierten LTPA-Schlüsseln neu zu konfigurieren, müssen Sie das Script
tip-Ausgangsverzeichnis/profiles/TIPProfile/bin/setAuthnSvcLTPAKeys.jacl
ausführen.
a. Wechseln Sie in das Verzeichnis tip-Ausgangsverzeichnis/profiles/
TIPProfile/bin/.
b. Starten Sie den Tivoli Integrated Portal-Server:
v startServer.bat server1
v startServer.sh server1
c. Führen Sie den folgenden Befehl aus:
wsadmin -Benutzername tipadmin -Kennwort tipadmin_password -f
setAuthnSvcLTPAKeys.jacl exported_key_path key_password
Hierbei gilt Folgendes:
exported_key_path ist der Name und der vollständige Pfad zur Schlüsseldatei, die exportiert wurde.
key_password ist das Kennwort, das zum Exportieren des Schlüssels verwendet wurde.
8. Bei SSO müssen Sie für alle anderen Anwendungsserver-Instanzen FIPS aktivieren und anschließend die aktualisierten LTPA-Schlüssel aus dem ersten Server
in diese Server importieren.
Nach der Installation konfigurieren
47
a. Kopieren Sie die LTPA-Schlüsseldatei aus Schritt 6 auf Seite 47 oben auf einen anderen Anwendungsservercomputer.
b. Klicken Sie im Navigationsteilfenster auf Einstellungen > WebSphere-Administrationskonsole und klicken Sie anschließend auf WebSphere-Administrationskonsole starten.
c. Wählen Sie in der Administrationskonsole von WebSphere Application Server die Option Einstellungen > Globale Sicherheit aus.
d. Klicken Sie im Bereich 'Authentifizierung' der Seite 'Globale Sicherheit' auf
den Link LTPA.
e. Geben Sie unter Zellenübergreifendes Single Sign-on den Dateinamen und
das Kennwort von oben für die Datei an, die die exportierten LTPA-Schlüssel enthält.
f. Klicken Sie auf Schlüssel importieren.
9. Führen Sie den Befehl ConfigureCLI aus:
tip-Ausgangsverzeichnis\bin\tipcli.bat ConfigureCLI --useFIPS true
tip-Ausgangsverzeichnis/bin/tipcli.sh ConfigureCLI --useFIPS true
Die IBM SDK-Datei tip-Ausgangsverzeichnis/java/jre/lib/security/
java.security sieht wie folgt aus, wenn IBMJCEFIPS aktiviert ist.
security.provider.1=com.ibm.crypto.fips.provider.IBMJCEFIPS
security.provider.2=com.ibm.crypto.provider.IBMJCE
security.provider.3=com.ibm.jsse.IBMJSSEProvider
security.provider.4=com.ibm.jsse2.IBMJSSEProvider2
security.provider.5=com.ibm.security.jgss.IBMJGSSProvider
security.provider.6=com.ibm.security.cert.IBMCertPath
security.provider.7=com.ibm.crypto.pkcs11.provider.IBMPKCS11
security.provider.8=com.ibm.security.cmskeystore.CMSProvider
security.provider.9=com.ibm.security.jgss.mech.spnego.IBMSPNEGO
Zugehörige Verweise
FIPS-Unterstützung
Unter Federal Information Processing Standards (FIPS) fallen Standards und Richtlinien, die vom National Institute of Standards and Technology (NIST) der Vereinigten Staaten für Behördensysteme aufgestellt werden.
48
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Zeitlimitwert für das LTPA-Token konfigurieren
Sie können den Zeitlimitwert für das LTPA-Token (LTPA - Lightweight Third Party
Authentication) für Tivoli Integrated Portal in der WebSphere Application ServerKonsole konfigurieren.
Tivoli Integrated Portal muss für Single Sign-on aktiviert sein.
Das standardmäßige Zeitlimit für ein LTPA-Token ist 120 Minuten. Eine LTPA-Zeitlimitüberschreitung führt dazu, dass Sie von Tivoli Integrated Portal abgemeldet
werden. Außerdem kann ein Dialogfenster für die Authentifizierung geöffnet werden, wenn es sich bei der ersten Anforderung nach der Zeitlimitüberschreitung um
eine AJAX-Anforderung von einem Portlet handelt. Gehen Sie wie folgt vor, um
das Zeitlimit für das LTPA-Token zu konfigurieren:
1. Klicken Sie im Navigationsteilfenster von Tivoli Integrated Portal auf Einstellungen > WebSphere-Administrationskonsole.
2. Klicken Sie auf WebSphere-Administrationskonsole, um die WebSphere Application Server-Konsole zu starten.
3. Klicken Sie im Navigationsteilfenster der WebSphere Application Server-Konsole auf Sicherheit > Globale Sicherheit.
4. Klicken Sie im Bereich 'Authentifizierung' der Seite Globale Sicherheit auf den
Link LTPA.
5. Bearbeiten Sie im Bereich 'LTPA-Zeitlimit' der Seite LTPA den Wert für das LTPA-Zeitlimit und klicken Sie auf OK.
6. Klicken Sie im Bereich 'Nachrichten' oben auf der Seite Globale Sicherheit auf
den Link Speichern und melden Sie sich von der WebSphere Application Server-Konsole ab.
In einer Umgebung mit Lastausgleich müssen Sie den Zeitlimitwert für das LTPAToken auf allen Instanzen des Tivoli Integrated Portal-Servers festlegen.
Nach der Installation konfigurieren
49
50
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Bemerkungen
Die vorliegenden Informationen wurden für Produkte und Services entwickelt, die
auf dem deutschen Markt angeboten werden.
Möglicherweise bietet IBM die in dieser Dokumentation beschriebenen Produkte,
Services oder Funktionen in anderen Ländern nicht an. Informationen über die gegenwärtig im jeweiligen Land verfügbaren Produkte und Services sind beim zuständigen IBM Ansprechpartner erhältlich. Hinweise auf IBM Lizenzprogramme
oder andere IBM Produkte bedeuten nicht, dass nur Programme, Produkte oder
Services von IBM verwendet werden können. Anstelle der IBM Produkte, Programme oder Services können auch andere, ihnen äquivalente Produkte, Programme
oder Services verwendet werden, solange diese keine gewerblichen oder anderen
Schutzrechte von IBM verletzen. Die Verantwortung für den Betrieb von Produkten, Programmen und Services anderer Anbieter liegt beim Kunden.
Für die in diesem Handbuch beschriebenen Erzeugnisse und Verfahren kann es
IBM Patente oder Patentanmeldungen geben. Mit der Auslieferung dieses Handbuchs ist keine Lizenzierung dieser Patente verbunden. Lizenzanforderungen sind
schriftlich an folgende Adresse zu richten (Anfragen an diese Adresse müssen auf
Englisch formuliert werden):
IBM Director of Licensing
IBM Europe, Middle East & Africa
Tour Descartes
2, avenue Gambetta
92066 Paris La Defense
France
Trotz sorgfältiger Bearbeitung können technische Ungenauigkeiten oder Druckfehler in dieser Veröffentlichung nicht ausgeschlossen werden. Die hier enthaltenen Informationen werden in regelmäßigen Zeitabständen aktualisiert und als Neuausgabe veröffentlicht. IBM kann ohne weitere Mitteilung jederzeit Verbesserungen und/
oder Änderungen an den in dieser Veröffentlichung beschriebenen Produkten und/
oder Programmen vornehmen.
Verweise in diesen Informationen auf Websites anderer Anbieter werden lediglich
als Service für den Kunden bereitgestellt und stellen keinerlei Billigung des Inhalts
dieser Websites dar. Das über diese Websites verfügbare Material ist nicht Bestandteil des Materials für dieses IBM Produkt. Die Verwendung dieser Websites geschieht auf eigene Verantwortung.
Werden an IBM Informationen eingesandt, können diese beliebig verwendet werden, ohne dass eine Verpflichtung gegenüber dem Einsender entsteht.
Lizenznehmer des Programms, die Informationen zu diesem Produkt wünschen
mit der Zielsetzung: (i) den Austausch von Informationen zwischen unabhängig
voneinander erstellten Programmen und anderen Programmen (einschließlich des
vorliegenden Programms) sowie (ii) die gemeinsame Nutzung der ausgetauschten
Informationen zu ermöglichen, wenden sich an folgende Adresse:
51
IBM Corporation
Software Interoperability Coordinator, Department 49XA
3605 Highway 52 N
Rochester, MN 55901
USA
Die Bereitstellung dieser Informationen kann unter Umständen von bestimmten
Bedingungen - in einigen Fällen auch von der Zahlung einer Gebühr - abhängig
sein.
Die Lieferung des in diesen Informationen beschriebenen Lizenzprogramms sowie
des zugehörigen Lizenzmaterials erfolgt auf der Basis der IBM Rahmenvereinbarung bzw. der Allgemeinen Geschäftsbedingungen von IBM, der IBM Internationalen Nutzungsbedingungen für Programmpakete oder einer äquivalenten Vereinbarung.
Alle in diesem Dokument enthaltenen Leistungsdaten stammen aus einer kontrollierten Umgebung. Die Ergebnisse, die in anderen Betriebsumgebungen erzielt werden, können daher erheblich von den hier erzielten Ergebnissen abweichen. Einige
Daten stammen möglicherweise von Systemen, deren Entwicklung noch nicht abgeschlossen ist. Eine Gewährleistung, dass diese Daten auch in allgemein verfügbaren Systemen erzielt werden, kann nicht gegeben werden. Darüber hinaus wurden
einige Daten unter Umständen durch Extrapolation berechnet. Die tatsächlichen Ergebnisse können davon abweichen. Benutzer dieses Dokuments sollten die entsprechenden Daten in ihrer spezifischen Umgebung prüfen.
Alle Informationen zu Produkten anderer Anbieter stammen von den Anbietern
der aufgeführten Produkte, deren veröffentlichten Ankündigungen oder anderen
allgemein verfügbaren Quellen. IBM hat diese Produkte nicht getestet und kann
daher keine Aussagen zu Leistung, Kompatibilität oder anderen Merkmalen machen. Fragen zu den Leistungsmerkmalen von Produkten anderer Anbieter sind
an den jeweiligen Anbieter zu richten.
Aussagen über Pläne und Absichten von IBM unterliegen Änderungen oder können zurückgenommen werden und repräsentieren nur die Ziele von IBM.
Alle von IBM angegebenen Preise sind empfohlene Richtpreise und können jederzeit ohne weitere Mitteilung geändert werden. Händlerpreise können u. U. von
den hier genannten Preisen abweichen.
Diese Veröffentlichung dient nur zu Planungszwecken. Die in dieser Veröffentlichung enthaltenen Informationen können geändert werden, bevor die beschriebenen Produkte verfügbar sind.
Diese Veröffentlichung enthält Beispiele für Daten und Berichte des alltäglichen
Geschäftsablaufs. Sie sollen nur die Funktionen des Lizenzprogramms illustrieren
und können Namen von Personen, Firmen, Marken oder Produkten enthalten. Alle
diese Namen sind frei erfunden; Ähnlichkeiten mit tatsächlichen Namen und Adressen sind rein zufällig.
52
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
COPYRIGHTLIZENZ:
Diese Veröffentlichung enthält Musteranwendungsprogramme, die in Quellensprache geschrieben sind und Programmiertechniken in verschiedenen Betriebsumgebungen veranschaulichen. Sie dürfen diese Musterprogramme kostenlos kopieren,
ändern und verteilen, wenn dies zu dem Zweck geschieht, Anwendungsprogramme zu entwickeln, zu verwenden, zu vermarkten oder zu verteilen, die mit der
Anwendungsprogrammierschnittstelle für die Betriebsumgebung konform sind, für
die diese Musterprogramme geschrieben werden. Diese Beispiele wurden nicht unter allen denkbaren Bedingungen getestet. Daher kann IBM die Zuverlässigkeit,
Wartungsfreundlichkeit oder Funktion dieser Programme weder zusagen noch gewährleisten.
Kopien oder Teile der Musterprogramme bzw. daraus abgeleiteter Code müssen
folgenden Copyrightvermerk beinhalten:
© (Name Ihrer Firma) (Jahr). Teile des vorliegenden Codes wurden aus Musterprogrammen der IBM Corporation abgeleitet. © Copyright IBM Corp. Jahr/Jahre angeben. Alle Rechte vorbehalten.
Bemerkungen
53
54
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation
Marken und Servicemarken
Informationen zu Marken finden Sie auf der IBM Website für rechtliche Hinweise
(http://www.ibm.com/legal/us/).
55
56
IBM Tivoli Usage and Accounting Manager: Konfiguration des Produkts nach der Installation