使用者應用程式:安裝指南
Identity Manager Roles Based Provisioning
Module
novdocx (zh-tw) 16 April 2010
4.0
2010 年 10 月 15 日
Identity Manager Roles Based Provisioning Module 4.0
使用者應用程式:安裝指南
法律聲明
Novell, Inc. 不對本文件的內容或使用做任何表示或保證,且特別聲明不對任何特定用途的適銷性或適用性
提供任何明示或默示的保證。此外,Novell, Inc. 有權隨時修訂本出版品或更改其內容,而無義務向任何個
人或實體告知這類修訂或變更。
此外,Novell, Inc. 不對軟體做任何表示或保證,且特別聲明不對任何特定用途的適銷性或適用性提供任何
明示或默示的保證。此外,Novell, Inc. 有權隨時變更部分或全部 Novell 軟體,而無義務向任何個人或實體
告知這類變更。
此合約下提到的任何產品或技術資訊可能受美國出口管制法與其他國家 / 地區的貿易法的限制。您同意遵
守所有出口管制規定,並同意取得出口、再出口或進口產品所需的一切授權或類別。您同意不出口或再出
口至目前美國出口排除清單上所列之實體,或是任何美國出口法所指定之禁運或恐怖主義國家 / 地區。您
同意不將交付產品用在禁止的核武、飛彈或生化武器等用途上。請參閱 Novell 國際貿易服務網頁 (http://
www.novell.com/info/exports/),以取得有關出口 Novell 軟體的詳細資訊。Novell 無需承擔您無法取得任何必
要的出口核准之責任。
版權所有 © 2008 Novell, Inc. 保留所有權利。未獲得出版者的書面同意前,不得對本出版品之任何部分進行
重製、複印、儲存於檢閱系統或傳輸的動作。
novdocx (zh-tw) 16 April 2010
Novell, Inc.
404 Wyman Street, Suite 500
Waltham, MA 02451
U.S.A.
www.novell.com
線上文件:
www.novell.com/documentation)。
若要存取本產品及其他 Novell 產品的最新線上文件,請參閱 Novell 文件網頁 (http://
Novell 商標
若要查看 Novell 商標,請參閱 Novell 商標和服務標誌清單 (http://www.novell.com/company/legal/trademarks/
tmlist.html)。
協力廠商資料
所有的協力廠商商標均為其各別擁有廠商的財產。
novdocx (zh-tw) 16 April 2010
novdocx (zh-tw) 16 April 2010
4
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
目錄
關於本指南 9
1 Roles Based Provisioning Module 安裝綜覽 11
1.1 安裝核對清單 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
1.2 關於安裝程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.3 系統要求 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2 先決條件 17
2.1 安裝 Identity Manager Metadirectory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.2 下載 Roles Based Provisioning Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.3 安裝應用程式伺服器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.1 安裝 JBoss 應用程式伺服器 . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.2 安裝 WebLogic 應用程式伺服器 . . . . . . . . . . . . . . . . . . . . . . 24
2.3.3 安裝 WebSphere 應用程式伺服器 . . . . . . . . . . . . . . . . . . . . . 24
2.4 安裝資料庫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.4.1 設定 MySQL 資料庫的說明 . . . . . . . . . . . . . . . . . . . . . . . . 25
2.4.2 設定 Oracle 資料庫的說明. . . . . . . . . . . . . . . . . . . . . . . . . 26
2.4.3 設定 MS SQL Server 資料庫的說明. . . . . . . . . . . . . . . . . . . . . 27
2.4.4 設定 DB2 資料庫的說明. . . . . . . . . . . . . . . . . . . . . . . . . . 27
2.5 安裝 Java 開發套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
novdocx (zh-tw) 16 April 2010
3 安裝 Roles Based Provisioning Module 31
3.1 關於安裝 Roles Based Provisioning Module . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.2 執行 NrfCaseUpdate 公用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
3.2.1 NrfCaseUpdate 綜覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.2.2 安裝綜覽 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
3.2.3 NrfCaseUpdate 如何對綱要產生影響 . . . . . . . . . . . . . . . . . . . . 32
3.2.4 建立使用者應用程式驅動程式的備份 . . . . . . . . . . . . . . . . . . . . 33
3.2.5 使用 NrfCaseUpdate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 33
3.2.6 NrfCaseUpdate 程序的確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.7 讓 JRE 進行 SSL 連線 . . . . . . . . . . . . . . . . . . . . . . . . . . 35
3.2.8 還原失效的使用者應用程式驅動程式 . . . . . . . . . . . . . . . . . . . . 36
3.3 執行 RBPM 安裝程式. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 36
3.4 手動延伸綱要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
4 建立驅動程式 45
4.1 在 Designer 中建立驅動程式. . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.1.1 安裝套件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
4.1.2 在 Designer 中建立使用者應用程式驅動程式. . . . . . . . . . . . . . . . . 47
4.1.3 在 Designer 中建立角色與資源服務驅動程式. . . . . . . . . . . . . . . . . 51
4.1.4 部署驅動程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53
5 在 JBoss 上安裝使用者應用程式 55
5.1 安裝和設定使用者應用程式 WAR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 55
5.1.1 檢視安裝和記錄檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
目錄
5
5.2 測試安裝 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 75
6 在 WebSphere 上安裝使用者應用程式 77
6.1 安裝和設定使用者應用程式 WAR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
6.1.1 檢視安裝記錄檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
6.2 設定 WebSphere 環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
6.2.1 設定連接池 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89
6.2.2 新增使用者應用程式組態檔和 JVM 系統內容. . . . . . . . . . . . . . . . . 97
6.2.3 將 eDirectory 託管根部輸入至 WebSphere Keystore . . . . . . . . . . . . . . . . . . . . . . . 102
6.2.4 將 preferIPv4Stack 內容傳送至 JVM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
6.3 部署 WAR 檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
6.3.1 WebSphere 7.0 的其他組態 . . . . . . . . . . . . . . . . . . . . . . . . 103
6.4 啟動和存取使用者應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103
7 在 WebLogic 上安裝使用者應用程式 105
7.1 WebLogic 安裝核對清單 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
7.2 安裝和設定使用者應用程式 WAR. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 105
7.2.1 檢視安裝和記錄檔案 . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.3 準備 WebLogic 環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.3.1 設定連接池 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.3.2 指定 RBPM 組態檔案位置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119
7.3.3 移除 OpenSAML JAR 檔案 . . . . . . . . . . . . . . . . . . . . . . . . 121
7.3.4 工作流程外掛程式和 WebLogic 安裝 . . . . . . . . . . . . . . . . . . . . 121
7.4 部署使用者應用程式 WAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
7.5 存取使用者應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 122
novdocx (zh-tw) 16 April 2010
8 使用主控台或單一指令來安裝 123
8.1 透過主控台安裝使用者應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.2 使用單一指令安裝使用者應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123
8.3 以靜音模式或主控台模式執行 JBossPostgreSQL 公用程式 . . . . . . . . . . . . . . . . . . . . . . . . . 131
8.4 以靜音模式或主控台模式執行 RIS 安裝程式 . . . . . . . . . . . . . . . . . . . . . 132
9 安裝後任務 135
9.1 記錄萬能金鑰 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
9.2 設定使用者應用程式 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
9.2.1 設定記錄 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 135
9.3 設定 eDirectory. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 136
9.3.1 在 eDirectory 中建立索引 . . . . . . . . . . . . . . . . . . . . . . . . . 136
9.3.2 安裝和設定 SAML 驗證方法 . . . . . . . . . . . . . . . . . . . . . . . . 136
9.4 安裝後重新設定使用者應用程式 WAR 檔案 . . . . . . . . . . . . . . . . . . . . . 137
9.5 設定外部忘記密碼管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.5.1 指定外部忘記密碼管理 WAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.5.2 指定內部密碼 WAR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 138
9.5.3 測試外部忘記密碼 WAR 組態 . . . . . . . . . . . . . . . . . . . . . . . 138
9.5.4 設定 JBoss 伺服器之間的 SSL 通訊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.6 更新忘記密碼設定 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.7 安全性考量 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.8 增加 IDM Java 堆積大小 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
9.9 疑難排解 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139
6
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
AIDM 使用者應用程式組態參考 143
A.1 使用者應用程式組態:基本參數 . . . . . . . . . . . . . . . . . . . . . . . . . . 143
A.2 使用者應用程式組態:所有參數 . . . . . . . . . . . . . . . . . . . . . . . . . . 145
novdocx (zh-tw) 16 April 2010
目錄
7
novdocx (zh-tw) 16 April 2010
8
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
關於本指南
本指南說明如何安裝 Novell Identity Manager Roles Based Provisioning Module 4.0。各章節如
下所示:
第 1 章 「Roles Based Provisioning Module 安裝綜覽」 ( 第 11 頁 )
第 2 章 「先決條件」 ( 第 17 頁 )
第 3 章 「安裝 Roles Based Provisioning Module」 ( 第 31 頁 )
第 4 章 「建立驅動程式」 ( 第 45 頁 )
第 5 章 「在 JBoss 上安裝使用者應用程式」 ( 第 55 頁 )
第 6 章 「在 WebSphere 上安裝使用者應用程式」 ( 第 77 頁 )
第 7 章 「在 WebLo g i c 上安裝使用者應用程式」 ( 第 105 頁 )
第 8 章 「使用主控台或單一指令來安裝」 ( 第 123 頁 )
第 9 章 「安裝後任務」 ( 第 135 頁 )
附錄 A 「IDM 使用者應用程式組態參考」 ( 第 143 頁 )
novdocx (zh-tw) 16 April 2010
使用對象
本指南的適用對象為規劃和實作 Identity Manager Roles Based Provisioning Module 的管理員
和顧問。
意見反應
我們希望得到您對本手冊以及本產品隨附之其他文件的意見和建議。請使用線上文件中每頁
底下的 「使用者意見」功能,或造訪 www.novell.com/documentation/feedback.html,然後寫
下您的意見。
其他文件
如需 Identity Manager 4.0 的其他相關文件,請參閱 Identity Manager 文件網站 (http://
www.novell.com/documentation/idm40/index.html)。
關於本指南
9
novdocx (zh-tw) 16 April 2010
10
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
1
Roles Based Provisioning Module
novdocx (zh-tw) 16 April 2010
安裝綜覽
本章提供 Roles Based Provisioning Module 的安裝步驟綜覽。主題包括:
第 1.1 節 「安裝核對清單」 ( 第 11 頁 )
第 1.2 節 「關於安裝程式」 ( 第 12 頁 )
第 1.3 節 「系統要求」 ( 第 12 頁 )
如果要從舊版的使用者應用程式或 Roles Based Provisioning Module 移轉,請參閱
應用程式︰移轉指南》
(http://www.novell.com/documentation/idm40/index.html)
1.1 安裝核對清單
若要安裝 Novell Identity Manager Roles Based Provisioning Module ,必須執行下列任務︰
驗證您的軟體符合系統要求。請參閱第 1.3 節 「系統要求」 ( 第 12 頁 ) 。
下載 Identity Manager Roles Based Provisioning Module。請參閱第 2.2 節 「下載 Roles
Based Provisioning Module」 ( 第 17 頁 )。
安裝下列支援元件:
確定您已安裝支援的 Identity Manager Metadirectory 。請參閱第 2.1 節 「安裝
Identity Manager Metadirectory」 ( 第 17 頁 )。
安裝和設定應用程式伺服器。請參閱第 2.3 節「安裝應用程式伺服器」( 第 18 頁 )。
安裝和設定資料庫。請參閱第 2.4 節 「安裝資料庫」 ( 第 24 頁 ) 。
安裝 Roles Based Provisioning Module Metadirectory 元件。請參閱第 3 章 「安裝 Roles
Based Provisioning Module」 ( 第 31 頁 )。
在 Designer 4.0 for Identity Manager 中建立使用者應用程式驅動程式。
請參閱第 4.1 節「在 Designer 中建立驅動程式」 ( 第 45 頁 )。
在 Designer 4.0 for Identity Manager 中建立角色與資源服務驅動程式。
《使用者
1
請參閱第 4.1 節「在 Designer 中建立驅動程式」 ( 第 45 頁 )
安裝並設定 Novell Identity Manager 使用者應用程式。( 只有安裝了正確的 JDK ,才能啟
動安裝程式。請參閱第 2.5 節 「安裝 Java 開發套件」 ( 第 29 頁 )) 。
您可以使用下列三種模式來啟動安裝程式:
圖形使用者介面。請參閱下列其中一節:
第 5 章 「在 JBoss 上安裝使用者應用程式」 ( 第 55 頁 )。
第 6 章 「在 WebSphere 上安裝使用者應用程式」 ( 第 77 頁 )。
第 7 章 「在 WebLo g i c 上安裝使用者應用程式」 ( 第 105 頁 )。
主控台 ( 指令行 ) 介面。請參閱第 8.1 節 「透過主控台安裝使用者應用程式」 ( 第
123 頁 )。
無訊息安裝。請參閱第 8.2 節「使用單一指令安裝使用者應用程式」( 第 123 頁 ) 。
執行第 9 章 「安裝後任務」 ( 第 135 頁 ) 中說明的安裝後任務。
Roles Based Provisioning Module 安裝綜覽
11
重要: 本指南未提供設定安全環境的相關指示。如需安全性的詳細資料,請參閱 《使用者
應用程式︰管理指南》 (http://www.novell.com/documentation/idm40/index.html)。
1.2 關於安裝程式
「使用者應用程式」的安裝程式會:
指定現有的應用程式伺服器版本,以供使用。
指定要使用的現有版本資料庫,例如 PostgreSQL 、Oracle 、DB2 、Microsoft SQL Server
或 MySQL 。資料庫可存放 「使用者應用程式」資料和 「使用者應用程式」組態資訊。
設定 JDK 的證書檔案組態,以便「使用者應用程式」( 在應用程式伺服器上執行) 可以
安全地與 Identity Vault 和 「使用者應用程式」驅動程式通訊。
為 Novell Identity Manager 使用者應用程式設定 Java Web 應用程式歸檔 (WAR) 檔案並將
其部署至應用程式伺服器。在 WebSphere 和 Web Logic 上,必須手動部署 WA R。
啟用透過 Novell 或 OpenXDAS 稽核用戶端的記錄 ( 如果您希望這麼做 )。
讓您能輸入現有的萬能金鑰來還原特定的 Roles Based Provisioning Module 安裝,並支
援叢集。
novdocx (zh-tw) 16 April 2010
1.3 系統要求
若要使用 Novell Identity Manager Roles Based Provisioning Module 4.0,必須安裝表格 1-1 中
列出的其中一項必要元件。
表格
1-1
系統要求
必要的系統元件 系統要求
Metadirectory
eDirectory 8.8.6 搭配 Identity Manager 4.0 使用
如需支援的作業系統清單,請參閱 Identity Manager 與 eDirectory 文件。
12
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
必要的系統元件 系統要求
應用程式伺服器 使用者應用程式可在 JBoss 、WebSphere 和 WebLogic 上執行,如下所述。
使用者應用程式搭配 JBoss 5.1 使用時需要 Sun 的 JRE 1.6.0_20 ,可在下列平台
上執行︰
Windows Server 2003 SP2 ( 僅 32 位元 )
Windows Server 2008 R2 ( 僅 64 位元 )
SUSE Linux Enterprise Server 10 SP3 (32 位元與 64 位元 )
SUSE Linux Enterprise Server 11 (32 位元與 64 位元 )
Red Hat Enterprise Linux 5.4 (32 位元與 64 位元 )
Solaris 10 (32 位元與 64 位元 )
WebSphere 7.0 上的使用者應用程式需要 IBM J9 VM ( 版次 2.4 、J2RE 1.6.0) 與
修復套件 7 。它可以在以下平台上執行:
Windows Server 2003 SP2 ( 僅 32 位元 )
Windows Server 2008 R2 ( 僅 64 位元 )
SUSE Linux Enterprise Server 10 SP3 (32 位元與 64 位元 )
SUSE Linux Enterprise Server 11 (32 位元與 64 位元 )
Red Hat Enterprise Linux 5.4 (32 位元與 64 位元 )
AIX 5.3 (64 位元,僅當資料庫為 Oracle 11g 時可在其上執行)
Solaris 10 (32 位元與 64 位元 )
novdocx (zh-tw) 16 April 2010
WebLogic 10.3 上的使用者應用程式需要 JRockit JVM 1.6.0_17 ,可在下列平台上
執行。
Windows Server 2003 SP2 ( 僅 32 位元 )
Windows Server 2008 R2 ( 僅 64 位元 )
SUSE Linux Enterprise Server 10 SP3 (32 位元與 64 位元 )
SUSE Linux Enterprise Server 11 (32 位元與 64 位元 )
Red Hat Enterprise Linux 5.4 (32 位元與 64 位元 )
Solaris 10 (32 位元或 64 位元 )
附註: 只要訪客作業系統受到使用者應用程式的支援,使用者應用程式便可支援
Xen 與 VMW 虛擬化。
Roles Based Provisioning Module 安裝綜覽
13
必要的系統元件 系統要求
瀏覽器 使用者應用程式支援 Firefox 和 Internet Explorer ,如下所示。
FireFox 3.6 可在下列平台上執行︰
Windows XP SP3
Windows Vista
Windows 7
SUSE Linux Enterprise Desktop 11
SUSE Linux Enterprise Server 11
Novell OpenSuSE 11.2
Apple Mac
Internet Explorer 8 可以在以下平台上執行:
Windows XP SP3
Windows Vista
Windows 7
novdocx (zh-tw) 16 April 2010
Internet Explorer 7 可在下列平台上執行:
Windows XP SP3
資料庫伺服器 JBoss 5.1.0 支援以下資料庫:
MS SQL 2008
MySQL 5.1 版
Oracle 11g
PostgreSQL 8.4.3
WebSphere 7.0 支援以下資料庫︰
DB2 9.5
MS SQL 2008
Oracle 11g
PostgreSQL 8.4.3
WebLogic 10.3 支援以下資料庫︰
MS SQL 2008
Oracle 11g
PostgreSQL 8.4.3
Designer Designer 4.0
OpenXDAS
OpenXDAS 0.8.345 版
SLES10 需要以下版本的 OpenXDAS ︰
openxdas-0.8.351-1.1.i586.rpm
openxdas-0.8.351-1.1.x86_64.rpm
網域服務 Windows 適用的 OES 2 SP1 網域服務
14
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
必要的系統元件 系統要求
密碼管理處理安全回應密碼管理處理安全回應功能需要使用版本 2770 版次 20080603 或更新版本的
NMAS 處理安全回應登入方法。
novdocx (zh-tw) 16 April 2010
Roles Based Provisioning Module 安裝綜覽
15
novdocx (zh-tw) 16 April 2010
16
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
2
先決條件
本章說明在安裝 Identity Manager Roles Based Provisioning Module (RBPM) 之前,必須安裝或
設定的軟體元件。主題包括:
第 2.1 節 「安裝 Identity Manager Metadirectory」 ( 第 17 頁 )
第 2.2 節 「下載 Roles Based Provisioning Module」 ( 第 17 頁 )
第 2.3 節 「安裝應用程式伺服器」 ( 第 18 頁 )
第 2.4 節 「安裝資料庫」 ( 第 24 頁 )
第 2.5 節 「安裝 Java 開發套件」 ( 第 29 頁 )
2.1 安裝 Identity Manager Metadirectory
Roles Based Provisioning Module 4.0 必須與 Identity Manager 4.0 搭配使用。
novdocx (zh-tw) 16 April 2010
2
如需安裝 Identity Manager 4.0 的指示,請參閱 Identity Manager 文件網站 (http://
www.novell.com/documentation/idm40/index.html)。
2.2 下載 Roles Based Provisioning Module
從 Novell 下載 (http://download.novell.com/index.jsp) 網站獲取 Identity Manager Roles Based
.iso
Provisioning Module 4.0 產品。根據表格 2-1 中所示,為您的產品下載對應的
表格
2-1 .iso
若產品為 下載這個 .iso
使用者應用程式
Metadirectory 適用的
Roles Based
Provisioning Module
元件
表格 2-2 介紹使用者應用程式與 Roles Based Provisioning Module
案。
表格
2-2 ISO
下載檔案
Identity_Manager_RBPM_4_0_0_User_Application.iso
Identity_Manager_RBPM_4_0_0_Driver_Install.iso
中提供的檔案和程序檔
.iso
檔案中提供的安裝檔
影像檔。
檔案 描述
IDMProv.war
IDMUserApp.jar
Roles Based Provisioning Module WAR。包含支援身分自助
服務功能與 Roles Based Provisioning Module 功能的 Identity
Manager 使用者應用程式。
使用者應用程式安裝程式。
先決條件
17
檔案 描述
novdocx (zh-tw) 16 April 2010
silent.properties
JBossPostgreSQL.bin 或
JBossPostgreSQL.exe
nmassaml.zip
rbpm_driver_install.exe
rbpm_driver_install_linux.bin
rbpm_driver_install_solaris.bin
這個檔案包含自動安裝所需的參數。這些參數與您在 GUI 或
「主控台」安裝程序中設定的安裝參數相對應。您應該複製這
個檔案,然後依照您的安裝環境來適當地修改內容。
方便安裝 JBoss Application Server 和 PostgreSQL 資料庫的
公用程式。
包含可支援 SAML 的 eDirectory 方法。只有在不是使用
Access Manager 時才需要。
Roles Based Provisioning Module 之 Metadirectory 元件 ( 角
色與資源服務驅動程式、使用者應用程式驅動程式以及
eDirectory 綱要 ) 適用的 Windows 安裝程式。
Roles Based Provisioning Module 之 Metadirectory 元件 ( 角
色與資源服務驅動程式、使用者應用程式驅動程式及
eDirectory 綱要 ) 適用的 Linux 安裝程式。
Roles Based Provisioning Module 之 Metadirectory 元件 ( 角
色與資源服務驅動程式、使用者應用程式驅動程式及
eDirectory 綱要 ) 適用的 Solaris 安裝程式。
安裝 Identity Manager Roles Based Provisioning Module 的系統上,必須至少有 320 MB 的可用
儲存空間,以及供支援應用程式 ( 資料庫、應用程式伺服器等等 ) 使用的空間。隨著時間經
過,系統會需要更多空間來容納其他變多的資料,例如資料庫或應用程式伺服器記錄。
預設安裝位置是:
Linux 或 Solaris:
Windows:
/opt/novell/idm
C:\Novell\IDM
安裝期間,您可以選取其他預設安裝目錄,但在開始安裝之前該目錄必須已經存在且可以寫
根
入 ( 對於 Linux 或 Solaris ,要求非
使用者可以寫入 )。
2.3 安裝應用程式伺服器
第 2.3.1 節 「安裝 JBoss 應用程式伺服器」 ( 第 18 頁 )
第 2.3.2 節 「安裝 We bLo g ic 應用程式伺服器」 ( 第 24 頁 )
第 2.3.3 節 「安裝 WebSphere 應用程式伺服器」 ( 第 24 頁 )
2.3.1 安裝 JBoss 應用程式伺服器
如果您打算使用 「JBoss 應用程式伺服器」,您可以採取下列方法:
根據製造廠商的說明下載並安裝 JBoss 應用程式伺服器。關於支援的版本,請參閱 第
1.3 節 「系統要求」 ( 第 12 頁 )。
使用 Roles Based Provisioning Module 下載檔案提供的 JBossPostgreSQL 公用程式來安裝
JBoss Application Server ( 可另外選擇安裝 PostgreSQL)。如需說明,請參閱 「安裝
JBoss Application Server 和 PostgreSQL 資料庫」 ( 第 19 頁 )。
請先安裝 Identity Manager Roles Based Provisioning Module 再啟動 JBoss 伺服器。啟動 JBoss
伺服器屬於安裝後任務。
18
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
表格
2-3 JBoss
配件 建議
應用程式伺服器最小建議要求
novdocx (zh-tw) 16 April 2010
RAM
連接埠 應用程式伺服器的預設連接埠為 8180。請記錄應用程式伺服器所使用的連接埠。
SSL
執行 Identity Manager Roles Based Provisioning Module 時,建議至少要有 512 MB 的
RAM 供 JBoss 應用程式伺服器使用。
如果您打算使用外部密碼管理,請啟用 SSL:
請在您部署 Identity Manager Roles Based Provisioning Module 和
檔案的 JBoss 伺服器上啟用 SSL。
IDMPwdMgt.war
請確定您的防火牆已開放 SSL 連接埠。
如需啟用 SSL 的相關資訊,請參閱 JBoss 文件。
IDMPwdMgt.war
如需
138 頁 ) 以及
index.html)。
《使用者應用程式︰管理指南》
檔案
的相關資訊,請參閱第 9.5 節 「設定外部忘記密碼管理」 ( 第
(http://www.novell.com/documentation/idm40/
安裝 JBoss Application Server 和 PostgreSQL 資料庫
JBossPostgreSQL 公用程式會在您的系統上安裝 JBoss Application Server 和 PostgreSQL 。這
個公用程式不支援主控台模式,需要圖形使用者介面環境。
附註: 在 Windows 2008 上執行 RBPM JBossPostgreSQL 安裝程式之前,需要先諮詢您的
Windows 管理員,瞭解您的系統所使用的密碼規則。Windows 2008 伺服器密碼規則要求密
碼遵循特定的一組規則。例如,密碼規則可能要求密碼包含非字母字元,及大小寫字元,或
長度不少於 8 個字元。Windows 管理員可以修改或停用該規則。
以根使用者身分執行安裝程式 您需要以根使用者身分執行安裝程式。
若要執行 JBossPostgreSQL 公用程式:
1 在 .iso 中找出並執行
/linux/jboss/JBossPostgreSQL.bin
/nt/jboss/JBossPostgreSQL.exe
JBossPostgreSQL.bin
( 若為 Linux)
( 若為 Windows)
或
JBossPostgreSQL.exe
。
該公用程式不適用於 Solaris 系統。
JBossPostgreSQLJBossPostgreSQL 公用程式會顯示其開頭顯示畫面︰
先決條件
19
novdocx (zh-tw) 16 April 2010
然後會顯示 「簡介」螢幕:
當您按 「下一步」後,公用程式會顯示 「
20
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
選擇安裝集
」螢幕:
novdocx (zh-tw) 16 April 2010
2 依照螢幕上的指示來導覽公用程式。如需其他資訊,請參閱下表。
安裝畫面 描述
選擇安裝集 選擇要安裝的產品。
預設
︰在您指定的目錄中安裝 JBoss 和 PostgreSQL ,以及用來啟
動和停止 JBoss 和 PostgreSQL 的程序檔。
JBoss:在您指定的目錄中安裝 JBoss 應用程式伺服器以及用來啟
動和停止的程序檔。
附註: 此公用程式無法將 「JBoss 應用程式伺服器」安裝為
Windows 服務。如需說明,請參閱 「將 JBoss 應用程式伺服器安
裝為服務或精靈」 ( 第 23 頁 )。
PostgreSQL:在您指定的目錄中安裝 PostgreSQL 並建立
PostgreSQL 資料庫,另外還會安裝用來啟動和停止 PostgreSQL 的
程序檔。
先決條件
21
安裝畫面 描述
選擇 JBoss 上層資料夾 按一下 「選擇」來選取非預設的安裝資料夾。
novdocx (zh-tw) 16 April 2010
選擇 PostgreSQL 上層資料夾按一下 「
選擇
」以選取非預設的安裝資料夾。
22
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
PostgreSQL 資訊 指定下列項目:
資料庫名稱
式安裝公用程式會提示您提供此名稱,所以請記下名稱和位置。預
設資料庫為
資料庫管理員
idmuserappdb
管理員使用者的密碼
確認管理員使用者的密碼
PostgreSQL
:指定要讓安裝程式建立的資料庫名稱。使用者應用程
idmadmin
:該使用者將做為資料庫的管理員。預設管理員為
連接埠
。
。
:資料庫管理員的密碼。
:確認密碼。
:PostgreSQL 資料庫伺服器將監聽的連接埠。
novdocx (zh-tw) 16 April 2010
安裝
安裝前摘要 檢閱 「摘要」頁面。如果指定正確,請按一下 「
安裝完成 公用程式會在您選取的產品安裝完成後顯示安裝完成的訊息︰
」。
The Installer has completed successfully. Thank you
for choosing Novell
安裝程式會建立 novlua 使用者 安裝程式會建立名為 novlua 的新使用
者。jboss_init 程序檔會以此使用者身分執行 JBoss ,並且會將 JBoss 檔
案中定義的許可權設定給此使用者。
重要: 您需要注意,JBossPostgreSQL 公用程式無法保護 JMX 主控台或
JBoss Web 主控台的安全,致使 JBoss 環境處於完全開放狀態。因此,
安裝完成後應立即鎖定環境,以消除安全風險。
將 JBoss 應用程式伺服器安裝為服務或精靈
在 Linux 上,JBoss 預設以服務的形式啟動。一個名為 /etc/init.d/jboss_init start/stop 的程序檔
會安裝到設備中,以在系統重新開機時啟動 JBoss 。
先決條件
23
使用 JavaServiceWrapper 您可以使用 JavaServiceWrapper 來安裝、啟動和停止 「JBoss 應
用程式伺服器」以做為 Windows 服務或 Linux 或 UNIX 精靈程序。請參閱 http://
www.jboss.org/community/wiki/RunJBossAsAServiceOnWindows (http://www.jboss.org/
community/wiki/RunJBossAsAServiceOnWindows) 上 JBoss 提供的指示。 http://
wrapper.tanukisoftware.org/doc/english/integrate-simple-win.html (http://
wrapper.tanukisoftware.org/doc/english/integrate-simple-win.html) 上提供了一個類似包裝程式,
它由 JMX 管理 ( 請參閱 http://wrapper.tanukisoftware.org/doc/english/jmx.html#jboss (http://
wrapper.tanukisoftware.org/doc/english/jmx.html#jboss))。
重要: 在舊版中,您可以使用協力廠商公用程式 ( 例如 JavaService) 將「JBoss 應用程式」
安裝為 Windows 服務並予以啟動和停止,但 JBoss 不再建議使用 JavaService。如需詳細資
料,請參閱 http://www.jboss.org/wiki/JavaService (http://www.jboss.org/community/wiki/
JavaService)。
2.3.2 安裝 WebLogic 應用程式伺服器
如果您打算使用 WebLo g ic 應用程式伺服器,請下載並安裝。如需支援的版本的相關資訊,
請參閱第 1.3 節 「系統要求」 ( 第 12 頁 ) 。
novdocx (zh-tw) 16 April 2010
2.3.3 安裝 WebSphere 應用程式伺服器
如果您打算使用 WebSphere 應用程式伺服器,請下載並安裝。如需支援之版本的相關資訊,
請參閱第 1.3 節 「系統要求」 ( 第 12 頁 ) 。
如需 DB2 組態的相關說明,請參閱 「設定 DB2 資料庫的說明」 ( 第 27 頁 ) 。
2.4 安裝資料庫
「使用者應用程式」會使用資料庫執行各種任務,例如,儲存組態資料,以及為任何工作流
程活動儲存資料。必須安裝和設定您平台所支援的其中一個資料庫,才能安裝 Roles Based
Provisioning Module 和使用者應用程式。這包含:
安裝資料庫和資料庫驅動程式。
建立資料庫或資料庫例項。
記錄以下資料庫參數,以便在安裝使用者應用程式的過程中使用︰
主機和連接埠
資料庫名稱、使用者名稱和使用者密碼
建立指向資料庫的資料來源檔案。
安裝方法因應用程式伺服器而異。對於 JBoss ,使用者應用程式安裝程式會建立指向資
料庫的應用程式伺服器資料來源檔案,並依據 Identity Manager Roles Based Provisioning
Module WAR 檔案的名稱命名該檔案。對於 WebSphere 和 We bLo g ic ,應先手動設定資
料來源,再進行安裝。
資料庫必須啟用 Unicode 編碼。
使用者應用程式要求資料庫字元集使用 Unicode 編碼。例如, UTF-8 便是一種使用
Unicode 編碼的字元集,而 Latin1 則不是。安裝使用者應用程式之前,請驗證您的資料
庫已設定有使用 Unicode 編碼的字元集。
24
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
附註: 如果要移轉到新版的 Roles Based Provisioning Module,必須使用之前安裝 ( 也就是您
要移轉的安裝來源 ) 所使用的使用者應用程式資料庫。
2.4.1 設定 MySQL 資料庫的說明
使用者應用程式需要對 MySQL 設定某些組態選項,如下所述:
「INNODB 存放引擎和表格類型」 ( 第 25 頁 )
「字元集」 ( 第 25 頁 )
「區分大小寫」 ( 第 25 頁 )
「Ansi 設定」 ( 第 26 頁 )
「使用者帳戶要求」 ( 第 26 頁 )
INNODB 存放引擎和表格類型
「使用者應用程式」使用了 INNODB 存放引擎,可讓您為 MySQL 選擇 INNODB 表格類型。
如果您建立 MySQL 表格時沒有指定其表格類型,該表格就會預設使用 MyISAM 表格類型。
若要確保您的 MySQL 伺服器使用 INNODB ,請確認
(Windows) 包含下列選項:
my.cnf
(Linux 或 Solaris) 或
my.ini
novdocx (zh-tw) 16 April 2010
default-table-type=innodb
不應該包含
除了設定
skip-innodb
default-table-type=innodb
選項。
選項之外,您還可以將
ENGINE=InnoDB
選項附加至資料庫
SQL 程序檔中的建立表格陳述式。
字元集
指定 UTF-8 做為整個伺服器或只有資料庫的字元集。 將下列選項納入
my.ini
Solaris) 或
character_set_server=utf8
(Windows),以涵蓋整個伺服器的基礎來指定 UTF-8:
my.cnf
(Linux 或
在建立資料庫期間,還可以使用下列指令來指定資料庫的字元集:
create database databasename character set utf8 collate utf8_bin;
如果您為資料庫設定了字元集,也必須在
IDM-ds.xml
檔案的 JDBC URL 中指定該字元集,如
下所示:
<connection-url>jdbc:mysql://localhost:3306/
databasename?useUnicode=true&characterEncoding=utf8&connectionCollati
on=utf8_bin</connection-url>
區分大小寫
如果您打算備份和還原伺服器或平台之間的資料,則請確定各伺服器和各平台之間都一致地
區分大小寫。若要確保一致性,請在您所有的
案中為
lower_case_table_names
指定相同的值 (0 或 1),而不要接受預設值 (Windows 預設為 0、
(Linux 或 Solaris) 或
my.ini
(Windows) 檔
my.cnf
Linux 預設為 1)。請先指定這個值,再建立資料庫來存放 Identity Manager 表格。例如,您
可以針對所有想在其上備份和還原資料庫的平台,指定
先決條件
25
novdocx (zh-tw) 16 April 2010
lower_case_table_names=1
my.cnf
和
( 在
my.ini
檔案中 )。
Ansi 設定
您需要將
ansi
項目新增至 my.cnf ( 在 Linux 上 ) 或 my.ini 檔案 ( 在 Windows 上 ) 中。如果沒
有新增此項目,RBPM 表格仍然會建立,但不會執行表格的初始資料載入,而且您可能還
會看到找不到訪客容器頁面定義的錯誤訊息。
ansi
以下便是新增
# These variables are required for IDM User Application
character_set_server=utf8
default-table-type=innodb
# Put the server in ANSI SQL mode.
#See http://www.mysql.com/doc/en/ANSI_mode.html
ansi
項目後 my.cnf ( 或 my.ini) 檔案中包含的內容︰
若要確認已變更為使用 ansi 模式,可以在您的 MySQL 伺服器上執行以下 SQL 陳述式︰
mysql> select @@global.sql_mode;
+-------------------------------------------------------------+
| @@global.sql_mode |
+-------------------------------------------------------------+
| REAL_AS_FLOAT,PIPES_AS_CONCAT,ANSI_QUOTES,IGNORE_SPACE,ANSI |
+-------------------------------------------------------------+
1 row in set (0.00 sec)
使用者帳戶要求
安裝期間使用的使用者帳戶對使用者應用程式使用的資料庫必須具有完全存取權限 ( 擁有
者 )。此外,此帳戶還需要具備對系統中表格的存取權限。不同環境下,表格可能會有所不
同。
建立使用者以登入 MySQL 伺服器,並將權限授予該使用者,例如︰
GRANT ALL PRIVILEGES ON <
資料庫名稱
.>* TO <
使用者名稱
>@<
主機
> IDENTIFIED BY '
密碼
'
最小權限組為 CREATE、INDEX、 INSERT、 UPDATE、 DELETE 與 LOCK TABLES 。 如需
GRANT 指令的文件,請參閱 http://www.mysql.org/doc/refman/5.0/en/grant.html (http://
www.mysql.org/doc/refman/5.0/en/grant.html)。
重要: 使用者帳戶還必須具有 mysql.user 表格的選取權限。以下是授予適當權限所使用的
SQL 語法︰
USE mysql;
GRANT SELECT ON mysql.user TO <username>@<host>;
2.4.2 設定 Oracle 資料庫的說明
建立 Oracle 資料庫時,請務必使用 AL32UTF8 來指定 Unicode 編碼的字元集。( 請參閱
AL32UTF8 (http://download-east.oracle.com/docs/cd/B19306_01/server.102/b14225/
glossary.htm#sthref2039)。)
26
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
建立 Oracle 資料庫的使用者時,需要使用 SQL Plus 公用程式發出以下陳述式。這些陳述式
會建立使用者並設定使用者的權限。授予使用者 CONNECT 與 RESOURCE 權限,例如︰
novdocx (zh-tw) 16 April 2010
CREATE USER
GRANT CONNECT, RESOURCE to
IDM
使用者
IDENTIFIED BY
IDM
密碼
使用者
Oracle 11g 上的 UTF-8 在 Oracle 11g 上,可以發出以下指令,以確認您已啟用 UTF-8 ︰
select * from nls_database_parameters;
如果未設定 UTF-8 ,會傳回以下資料︰
NLS_CHARACTERSET
WE8MSWIN1252
如果已設定 UTF-8 ,則會傳回以下資料︰
NLS_CHARACTERSET
AL32UTF8
2.4.3 設定 MS SQL Server 資料庫的說明
按以下步驟設定 MS SQL Server 資料庫︰
1 安裝 MS SQL 伺服器。
2 連接到伺服器,並開啟用來建立資料庫與資料庫使用者的應用程式 ( 一般為 SQL Server
Management Studio 應用程式 )。
3 建立資料庫。SQL 伺服器不允許使用者選取資料庫使用的字元集。 IDM 使用者應用程
式在支援 UTF-8 的 NCHAR 欄類型中儲存 SQL Server 字元資料。
4 建立登入。
5 將登入新增為資料庫的使用者。
6 將這些權限授予登入:CREATE TABLE、 CREATE INDEX、SELECT 、INSERT 、
UPDATE 與 DELETE 。
使用者應用程式需要 1.0.809.102 版的 Microsoft SQL Server 2005 JDBC 驅動程式。請注意,
正式對此 JDBC 驅動程式提供支援的只有 Sun Solaris 、Red Hat Linux 以及 Windows 2000 或
更新版本的作業系統。
2.4.4 設定 DB2 資料庫的說明
本節提供 DB2 組態設定的說明。
提供資料庫驅動程式 JAR
安裝期間,需要選取 「
資料庫驅動程式
過,「
必須提供兩 (2) 個 jar ︰
db2jcc.jar
db2jcc_license_cu.jar
資料庫使用者名稱與密碼
JAR
檔案
」欄位的瀏覽按鈕僅允許您選取一個 (1) jar 。但對於 DB2 ,
」螢幕中的資料庫驅動程式 JAR 檔案。不
先決條件
27
因此,如果在 WebSphere (DB2 唯一支援的應用程式伺服器 ) 上執行安裝程式,您可以選取
其中一個 jar ,但第二個 JAR 必須手動輸入,並使用執行安裝程式之作業系統所適用的正確
檔案分隔符。您也可以手動輸入兩個項目。
例如,在 Windows 上:
c:\db2jars\db2jcc.jar;c:\db2jars\db2jcc_license_cu.jar
例如,在 Solaris 和 Linux 上︰
/home/lab/db2jars/db2jcc.jar:/home/lab/db2jcc_license_cu.jar
調整 DB2 資料庫以防止鎖死和逾時
使用 DB2 時,如果遇到指示因鎖死或逾時已復原目前交易的錯誤,則問題可能是由於高階
使用者與資料庫並行處理造成。
novdocx (zh-tw) 16 April 2010
DB2 提供許多技術可解決鎖定衝突,包括微調成本最佳程式。《DB2 管理》文件中的
是極佳的資訊來源,包含豐富的微調主題資訊。
南
效能指
沒有指示自從發生層級和資料大小變更後用於所有安裝的微調值。但是,在此有一些與您的
安裝有關的 DB2 微調提示:
reorgchk update statistics
命令將更新最佳化工具使用的統計資料。 定期更新這些統計資料便
足以減輕這個問題。
透過不鎖定已插入或更新列的下一個索引鍵來使用 DB2 登錄參數 DB2_RR_TO_RS ,可
改善發生狀況。
在資料庫中增加 MAXLOCKS 和 LOCKLIST 參數。
在資料庫連接集區中增加 currentLockTimeout 內容。
使用 「資料庫組態顧問」,並最佳化以加快異動速度。
將所有的 「使用者應用程式」表改變為 VOLATILE ,以讓最佳化程式了解,表格基數
將明顯改變。例如,若要將 AFACTIVITY 表變成 VOLATILE 表,您可發出命令:
ALTER TABLE AFACTIVITY VOLATILE
在 「使用者應用程式」已啟動且資料庫表已建立後,必須執行 ALTER TABLE 命令。
如需此陳述式的詳細資訊,請參閱 ALTER TABLE 文件。以下是所有 「使用者應用程
式」表的 SQL 陳述式:
ALTER TABLE AFACTIVITY VOLATILE
ALTER TABLE AFACTIVITYTIMERTASKS VOLATILE
ALTER TABLE AFBRANCH VOLATILE
ALTER TABLE AFCOMMENT VOLATILE
ALTER TABLE AFDOCUMENT VOLATILE
ALTER TABLE AFENGINE VOLATILE
ALTER TABLE AFENGINESTATE VOLATILE
ALTER TABLE AFMODEL VOLATILE
ALTER TABLE AFPROCESS VOLATILE
ALTER TABLE AFPROVISIONINGSTATUS VOLATILE
ALTER TABLE AFQUORUM VOLATILE
ALTER TABLE AFRESOURCEREQUESTINFO VOLATILE
ALTER TABLE AFWORKTASK VOLATILE
ALTER TABLE AF_ROLE_REQUEST_STATUS VOLATILE
ALTER TABLE ATTESTATION_ATTESTER VOLATILE
ALTER TABLE ATTESTATION_ATTRIBUTE VOLATILE
ALTER TABLE ATTESTATION_QUESTION VOLATILE
ALTER TABLE ATTESTATION_REPORT VOLATILE
28
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
ALTER TABLE ATTESTATION_REQUEST VOLATILE
ALTER TABLE ATTESTATION_RESPONSE VOLATILE
ALTER TABLE ATTESTATION_SURVEY_QUESTION VOLATILE
ALTER TABLE ATTESTATION_TARGET VOLATILE
ALTER TABLE AUTHPROPS VOLATILE
ALTER TABLE DATABASECHANGELOG VOLATILE
ALTER TABLE DATABASECHANGELOGLOCK VOLATILE
ALTER TABLE DSS_APPLET_BROWSER_TYPES VOLATILE
ALTER TABLE DSS_APPLET_CFG VOLATILE
ALTER TABLE DSS_APPLET_CFG_MAP VOLATILE
ALTER TABLE DSS_BROWSER_TYPE VOLATILE
ALTER TABLE DSS_CONFIG VOLATILE
ALTER TABLE DSS_EXT_KEY_USAGE_RESTRICTION VOLATILE
ALTER TABLE DSS_USR_POLICY_SET VOLATILE
ALTER TABLE JBM_COUNTER VOLATILE
ALTER TABLE JBM_DUAL VOLATILE
ALTER TABLE JBM_ID_CACHE VOLATILE
ALTER TABLE JBM_MSG VOLATILE
ALTER TABLE JBM_MSG_REF VOLATILE
ALTER TABLE JBM_POSTOFFICE VOLATILE
ALTER TABLE JBM_ROLE VOLATILE
ALTER TABLE JBM_TX VOLATILE
ALTER TABLE JBM_USER VOLATILE
ALTER TABLE PORTALCATEGORY VOLATILE
ALTER TABLE PORTALPORTLETHANDLES VOLATILE
ALTER TABLE PORTALPORTLETSETTINGS VOLATILE
ALTER TABLE PORTALPRODUCERREGISTRY VOLATILE
ALTER TABLE PORTALPRODUCERS VOLATILE
ALTER TABLE PORTALREGISTRY VOLATILE
ALTER TABLE PROFILEGROUPPREFERENCES VOLATILE
ALTER TABLE PROFILEUSERPREFERENCES VOLATILE
ALTER TABLE PROVISIONING_CODE_MAP VOLATILE
ALTER TABLE PROVISIONING_CODE_MAP_LABEL VOLATILE
ALTER TABLE PROVISIONING_VIEW_VALUE VOLATILE
ALTER TABLE PROVISIONING_VIEW_VALUE_LABEL VOLATILE
ALTER TABLE SECURITYACCESSRIGHTS VOLATILE
ALTER TABLE SECURITYPERMISSIONMETA VOLATILE
ALTER TABLE SECURITYPERMISSIONS VOLATILE
ALTER TABLE SEC_DELPROXY_CFG VOLATILE
ALTER TABLE SEC_DELPROXY_SRV_CFG VOLATILE
ALTER TABLE SEC_SYNC_CLEANUP_QUEUE VOLATILE
novdocx (zh-tw) 16 April 2010
2.5 安裝 Java 開發套件
使用者應用程式安裝程式要求您針對應用程式伺服器使用正確的 Java 環境版本,如下所述︰
對於 JBoss 5.01,您需要使用 Sun 的 Java 2 Platform Standard Edition 開發套件 1.6 版
(JDK 或 JRE)。
附註: 方便起見,JBossPostgreSQL 公用程式會為 JBoss 安裝正確的 JRE 版本。
對於 WebSphere 7.0,需要使用 IBM 的 1.6 JDK。
對於 WebLogic 10.3,需要使用 JRockit 的 1.6 JDK。
將 JAVA_HOME 環境變數設定為指向 JDK* 來和 「使用者應用程式」搭配使用。 或者,在
安裝 「使用者應用程式」時手動指定來覆寫 JAVA_HOME。
先決條件
29
附註: SUSE Linux Enterprise Server (SLES) 使用者請勿使用 SLES 隨附的 IBM JDK 。此版本
與該安裝版本有多處不相容。
novdocx (zh-tw) 16 April 2010
30
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
3
安裝 Roles Based Provisioning
novdocx (zh-tw) 16 April 2010
Module
本章說明如何使用 Roles Based Provisioning Module (RBPM) 安裝程式在 Identity Manager 中
安裝 Roles Based Provisioning Module 的執行時期元件。主題包括:
第 3.1 節 「關於安裝 Roles Based Provisioning Module」 ( 第 31 頁 )
第 3.2 節 「執行 NrfCaseUpdate 公用程式」 ( 第 31 頁 )
第 3.3 節 「執行 RBPM 安裝程式」 ( 第 36 頁 )
第 3.4 節 「手動延伸綱要」 ( 第 42 頁 )
重要: 在此版本中,您將不再能透過 iManager 建立使用者應用程式驅動程式和角色與資源
服務驅動程式。系統不再支援這種建立驅動程式的方式。現在,要建立這些驅動程式,您需
要使用 Designer 中提供的新的套件管理功能,如第 4 章 「建立驅動程式」 ( 第 45 頁 ) 中所
述。
3.1 關於安裝 Roles Based Provisioning Module
Identity Manager 4.0 會自動為您安裝 RBPM 的核心執行時期元件。不過,您也可以自行啟動
Roles Based Provisioning Module 的安裝程式。
3
您需要在安裝了 Identity Manager Metadirectory 環境的機器上執行 RBPM 安裝程式。如果
eDirectory 未安裝在預設位置或預設 dib 位置,該安裝將會失敗。
附註: 如果 eDirectory 未在預設 LDAP 連接埠 389 與 636 上執行,RBPM 安裝程式也無法正
常執行。如果未在預設 LDAP 連接埠上執行,您將一直收到綱要無效且您必須執行
NrfCaseUpdate 公用程式的提示。若要修復此問題,您需要手動延伸綱要,如第 3.4 節「手
動延伸綱要」 ( 第 42 頁 ) 中所述。
在 Identity Manager 中安裝這些項目之後,您需要遵照第 4 章 「建立驅動程式」 ( 第 45 頁 )
中所述的步驟,建立執行使用者應用程式所需的驅動程式。
重要: 如果使用 3.6.1 或先前版本的 RBPM 建立的 eDirectory 網路樹中存在使用者應用程式
驅動程式,則執行 Roles Based Provisioning Module 安裝程式之前需要先執行 NrfCaseUpdate
公用程式。如果不執行該公用程式,安裝將失敗。如果要執行 4.0 版的全新安裝或從 3.7 版
升級,則無需執行此步驟。
3.2 執行 NrfCaseUpdate 公用程式
本節介紹 NrfCaseUpdate 公用程式的詳細資料。主題包括:
第 3.2.1 節「NrfCaseUpdate 綜覽」 ( 第 32 頁 )
第 3.2.2 節 「安裝綜覽」 ( 第 32 頁 )
第 3.2.3 節「NrfCaseUpdate 如何對綱要產生影響」 ( 第 32 頁 )
安裝 Roles Based Provisioning Module
31
第 3.2.4 節 「建立使用者應用程式驅動程式的備份」 ( 第 33 頁 )
第 3.2.5 節 「使用 NrfCaseUpdate」 ( 第 33 頁 )
第 3.2.6 節「NrfCaseUpdate 程序的確認」 ( 第 35 頁 )
第 3.2.7 節「讓 JRE 進行 SSL 連線」 ( 第 35 頁 )
第 3.2.8 節 「還原失效的使用者應用程式驅動程式」 ( 第 36 頁 )
3.2.1 NrfCaseUpdate 綜覽
NrfCaseUpdate 程序對於角色與資源的混合大小寫搜尋能夠提供必要的支援。此程序透過修
改使用者應用程式驅動程式使用的 nrfLocalizedDescrs 與 nrfLocalizedNames 屬性來更新綱
要。如果 eDirectory 網路樹是使用 3.6.1 或先前版本的 RBPM 建立的,則在安裝 RBPM 4.0
以及移轉 Designer 4.0 中現有的驅動程式之前,必須執行此程序。如果要執行 4.0 版的全新
安裝或從 3.7 版升級,則無需執行此步驟。
3.2.2 安裝綜覽
本節為升級與移轉現有 RBPM 環境所需完成的步驟提供了綜覽。此綜覽強調在進行任何升
級之前,必須使用 Designer 4.0 建立使用者應用程式驅動程式的備份。同時還假設 IDM 的版
本為 3.6 或更新版本。
novdocx (zh-tw) 16 April 2010
1 安裝 Designer 4.0 。
2 執行 Identity Vault 健康狀態檢查以確認綱要正確延伸。請使用 TID 3564075 完成健康狀
態檢查。
3 將現有的使用者應用程式驅動程式輸入至 Designer 4.0 中。
4 將 Designer 專案歸檔。它代表驅動程式 RBPM 4.0 之前版本的狀態。
5 執行 NrfCaseUpdate 程序。
6 建立新的 Designer 4.0 專案並輸入使用者應用程式驅動程式,為移轉做好準備。
7 安裝 RBPM 4.0 。
8 使用 Designer 4.0 移轉驅動程式。
9 部署移轉後的驅動程式。
3.2.3 NrfCaseUpdate 如何對綱要產生影響
NrfCaseUpdate 公用程式在更新 eDirectory 綱要中現有的屬性時,會刪除這些屬性中所有現
有的例項。使用者應用程式驅動程式會使用這些屬性,因而將受到此綱要更新的影響,特別
是角色與職務分離名稱及描述、自定證明申請以及報告。
NrfCaseUpdate 程序會在執行綱要更新前,提供用於將現有使用者應用程式驅動程式匯出至
LDIF 檔案的公用程式,以此來更新這些驅動程式。在綱要更新後匯入 LDIF 檔案會重新建
立在綱要更新期間刪除的所有物件。
同樣,為了起到預防作用,一定要備份所有現有的使用者應用程式驅動程式。請記住,綱要
更新會影響所有 IDM 分割區,因此很有必要使用 NrfCaseUpdate 匯出網路樹中的所有使用
者應用程式驅動程式。
32
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
3.2.4 建立使用者應用程式驅動程式的備份
建議使用 Designer 建立使用者應用程式驅動程式的備份。執行 NrfCaseUpdate 程序前,應遵
照以下程序備份現有的使用者應用程式驅動程式︰
1 安裝與 RBPM 4.0 一起提供的 Designer 4.0 。
2 建立 Identity Vault,並將其對應至包含使用者應用程式驅動程式的 IDM 伺服器。
3 使用
「即時」->「輸入」
指令匯入驅動程式集與使用者應用程式驅動程式。
4 儲存並歸檔此 Designer 專案。
3.2.5 使用 NrfCaseUpdate
NrfCaseUpdate 會提示您匯出每個驅動程式,然後再執行綱要更新。如果不確定是否存在使
用者應用程式驅動程式,或是不確定其位置,請不要繼續,因為綱要更新可能會使現有的使
用者應用程式驅動程式失效。
novdocx (zh-tw) 16 April 2010
IDM 安裝目錄 ( 通常為
/root/idm/jre
) 下提供的 JRE 可以用於執行 NrfCaseUpdate。如果需要至
eDirectory 的 SSL 連線,應遵照第 3.2.7 節「讓 JRE 進行 SSL 連線」 ( 第 35 頁 ) 的指示讓
JRE 進行 SSL 連線。
或者,您也可以從包含 eDirectory 證書的 JRE 所在的主機 ( 例如使用者應用程式伺服器主機 )
遠端執行 NrfCaseUpdate 公用程式。這種情況下,需要在將所有驅動程式匯出至 LDIF 之後、
綱要更新之前,使用 CTRL-C 結束 NrfCaseUpdate 公用程式。然後,可以使用 ndssch 指令手
動更新 eDirectory 主機上的綱要,如下所示︰
ndssch -h hostname adminDN update-nrf-case.sch
附註: NrfCaseUpdate 可以使用多種指令行引數。使用
-help
或 -? 可以查看詳細資訊。
遵循以下步驟執行 NrfCaseUpdate ︰
1 在執行 NrfCaseUpdate 公用程式之前,確定已經完成 Identity Vault 健康狀態檢查。請使
用 TID 3564075 完成健康狀態檢查。
2 啟動公用程式之前先識別現有使用者應用程式驅動程式的所有 DN 。您需要有驗證身分
證明才能將這些驅動程式匯出至 LDIF 。
3 執行 NrfCaseUpdate 公用程式。也可以選擇使用
/root/idm/jre/bin/java -jar NrfCaseUpdate.jar -v
-v
選項取得更詳細的輸出資訊︰
4 系統會詢問您是否已有使用者應用程式驅動程式。如果有,請做肯定回答。否則做否定
回答,並跳至步驟 6 ( 第 33 頁 ) 。
Do you currently have a User Application Driver configured [DEFAULT true]
:
5 接著,公用程式會詢問您是否有多個使用者應用程式驅動程式。如果有,請做肯定回答
︰
Do you currently have more than one (1) User Application Driver configured
[DEFAULT false] :
6 指定擁有適當身分證明、可匯出使用者應用程式驅動程式之管理員的 DN ︰
安裝 Roles Based Provisioning Module
33
Specify the DN of the Identity Vault administrator user.
This user must have inherited supervisor rights to the user application
driver specified above.
(e.g. cn=admin,o=acme):
7 輸入此管理員的密碼︰
Specify the Identity Vault administrator password:
8 輸入代管使用者應用程式驅動程式之 IDM 伺服器的主機名稱或 IP 位址︰
Specify the DNS address of the Identity Vault (e.g acme.com):
9 指定連線所使用的連接埠︰
Specify the Identity Vault port [DEFAULT 389]:
10 下一個問題是詢問您是否使用 SSL 進行連線。如果要使用 SSL , JRE 要求托管儲存區
中存在 eDirectory 證書。若要堅持使用證書,請遵照第 3.2.7 節「讓 JRE 進行 SSL 連
線」 ( 第 35 頁 ) 的指示。
Use SSL to connect to Identity Vault: [DEFAULT false] :
11 指定要匯出之使用者應用程式驅動程式的完全合法的可辨識名稱︰
Specify the fully qualified LDAP DN of the User Application driver located
in the Identity Vault
(e.g. cn=UserApplication,cn=driverset,o=acme):
novdocx (zh-tw) 16 April 2010
如果 DN 包含空格,則必須將空格括在單引號中,如下所示:
'cn=UserApplication driver,cn=driverset,o=acme'
12 指定使用者應用程式要匯出至其中的 LDIF 檔案的名稱︰
Specify the LDIF file name where the restore data will be written (enter
defaults to nrf-case-restore-data.ldif):
13 公用程式會張貼儲存到 LDIF 中之物件的相關資訊。
14 如果您指出自己擁有多個驅動程式,則會看到以下提示︰
You indicated you have more than one (1) User Application Driver to
configure.
Do you have another driver to export? [DEFAULT false] :
If you have another driver to export then specify true. The utility will
repeat Steps 5 through 12 for each driver.
If you do not have another driver to export then specify false. Ensure that
you have exported all existing drivers before proceeding as the utility
will proceed with the schema update.
15 系統會提示您輸入
ndssch
公用程式的位置以及一般位置。
ndssch
公用程式用於更新綱
要。
Please enter the path to the schema utility:
For Unix/Linux typically /opt/novell/eDirectory/bin/ndssch
For Windows C:\Novell\NDS\schemaStart.bat:
16 公用程式會張貼綱要更新的狀態訊息︰
Schema has successfully been updated for mixed case compliance!
附註: 請務必給予 eDirectory 充分的時間來完成綱要變更同步。如果分配的時間太短,
可能導致 LDIF 檔案輸入失敗。
17 在輸入 LDIF 檔案之前再執行一次 Identity Vault 健康狀態檢查,以確定綱要已正確延
伸。請使用 TID 3564075 完成健康狀態檢查。
34
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
18 匯出所有驅動程式並成功套用綱要更新後,需要匯入每個 LDIF 檔案。您應指示允許傳
ice
指令中的參考。建議使用以下指令行︰
送
ice -l [mylogfile.log] -v -SLDIF -f [your_created_ldif] -c -DLDAP -s
[hostname] -p [389/636] -d [cn=myadmin,o=mycompany] -w [MYPASSWORD] -F -B
19 重新匯入所有驅動程式後,確認 NrfCaseUpdate 程序是否成功。如需相關資訊,請參閱
第 3.2.6 節「NrfCaseUpdate 程序的確認」 ( 第 35 頁 )。
20 確認 NrfCaseUpdate 程序成功後,可以繼續安裝 RBPM 4.0 。
3.2.6 NrfCaseUpdate 程序的確認
重新匯入所有驅動程式後,在使用者應用程式中檢閱以下項目,以確認還原是否成功︰
角色名稱與描述
職務分離名稱與描述
證明申請,包括自定申請
報告
novdocx (zh-tw) 16 April 2010
確認完成後,可以繼續進行安裝並升級到 RBPM 4.0 。
3.2.7 讓 JRE 進行 SSL 連線
本節介紹如何將 JRE 設定為使用 SSL 連線。
首先,從 Identity Vault 中的證書管理中心匯出自行簽署的證書︰
1 在 iManager 的「
2 選取 Identity Vault 的證書管理中心物件,然後按一下 「
找到該物件,其命名為
3 按一下
4 按一下 「
5 當詢問您是否要匯出含證書的私密金鑰時,請按一下 「
6 選取二進位 DER 格式。
7 按一下 「
8 瀏覽至電腦上要儲存檔案的位置,然後按一下 「
9 按一下 「
接著,將自行簽署的證書匯入到 JRE 的托管儲存區中。
1 使用 JRE 中包含的 keytool 公用程式。
2 在指令提示中輸入以下指令,將證書匯入到角色對應管理員的托管儲存區中︰
keytool -import -file name_of_cert_file -trustcacerts -noprompt -keystore
filename -storepass password
「證書」>「自行簽署的證書」
輸出
儲存匯出的證書
關閉
角色及任務
」。
」。
」檢視窗中,按一下
網路樹名稱
」連結。
CA.Security 。
。
「目錄管理」>「修改物件」
確定
」。通常可在安全性容器中
否
儲存
」,然後按一下 「
」。
下一步
。
」。
例如:
keytool -import -file tree_ca_root.b64 -trustcacerts -noprompt -keystore
cacerts -storepass changeit
安裝 Roles Based Provisioning Module
35
3.2.8 還原失效的使用者應用程式驅動程式
如果在使用 NrfCaseUpdate 處理現有的使用者應用程式驅動程式之前,綱要更新已經套用至
該驅動程式,則驅動程式將失效,您需要使用備份還原該驅動程式。
novdocx (zh-tw) 16 April 2010
重要:
關聯都失效。此外,如果您在角色與資源服務驅動程式執行期間刪除了使用者應用程式驅動
程式,則角色與資源服務驅動程式會偵測到角色刪除事件,並移除指定使用者的角色。
此外,由於綱要變更無法以這種方式進行調整,因此僅將備份的驅動程式重新部署至 IDM
還不夠。以下程序透過部署重新命名後的驅動程式副本以產生要還原的資料,藉以執行還原
操作。
以下程序概述了使用 Designer 4.0 還原使用者應用程式驅動程式備份的程序︰
千萬不要
1 重新啟動 eDirectory 伺服器,以確保綱要修改已生效。
2 開啟包含使用者應用程式驅動程式 UserAppDriver 之備份的 Designer 4.0 專案的副本。
由於此程序會修改驅動程式的名稱,因此一定要使用專案的副本。
3 選取使用者應用程式驅動程式與 Identity Vault 之間的連接器,然後按一下滑鼠右鍵並選
擇「
4 指定新名稱,例如
5 按一下 「
6 選取 ID Vault 並選擇
擇「
7 儲存專案。
8 選取驅動程式並選擇
9 執行 NrfCaseUpdate 並將新命名的驅動程式匯出至 LDIF 檔案。
10 建立 LDIF 檔案的副本以進行編輯。
刪除或重新命名失效的使用者應用程式驅動程式,否則會使所有驅動程式的
內容
」。
更新
UserAppDriver_restore
儲存
」以儲存專案。
Designer
以執行調整動作
「即時」->「綱要」->「比較」
「驅動程式」->「部署」
。選取 「
」。
套用
」,然後按一下 「
以同步化 ID Vault 綱要,然後選
,藉以部署重新命名後的驅動程式。
確定
」。
11 編輯 LDIF 檔案並重新命名所有驅動程式參考,以反映您正在還原的使用者應用程式驅
動程式。例如,如果您的原始使用者應用程式驅動程式為
cn=UserAppDriver_restore
用者應用程式驅動程式的 LDIF 檔案。
12 使用 ice 匯入修改後的 LDIF 檔案︰
ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B
13 注意使用 ice 匯入的狀態,以確保其成功。
14 遵照第 3.2.6 節「NrfCaseUpdate 程序的確認」( 第 35 頁 ) 中的指示確認驅動程式的還原
情況。
15 從驅動程式集中刪除重新命名後的驅動程式。
重新命名為
cn=UserAppDriver
。此步驟將有效建立一個反映實際使
3.3 執行 RBPM 安裝程式
1 啟動平台適用的安裝程式︰
Linux
rbpm_driver_install_linux.bin
36
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
cn=UserAppDriver
,則需要將
Solaris
rbpm_driver_install_solaris.bin
Windows
rbpm_driver_install.exe
安裝程式啟動時會提示您選擇語言︰
novdocx (zh-tw) 16 April 2010
2 選擇安裝使用的語言,然後按一下 「確定」。
安裝程式會顯示 「簡介」螢幕。
安裝 Roles Based Provisioning Module
37
novdocx (zh-tw) 16 April 2010
3 按一下 「
下一步
」。
安裝程式會顯示 「授權合約」螢幕。
38
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
4 確認授權合約並按一下 「
下一步
」。
安裝程式會顯示 「選取元件」螢幕,其中列出了執行 RBPM 使用者應用程式所需的
Metadirectory 元件︰
元件說明如下︰
元件 描述
Roles Based Provisioning Module
綱要延伸 安裝 eDirectory 綱要延伸。
組態檔案 安裝驅動程式組態檔案。
5 選取要安裝的元件,然後按一下 「
下一步
安裝使用者應用程式驅動程式以及角色與資源驅
動程式。
」。一般情況下,可以安裝所有元件。
安裝程式會顯示 「驗證」螢幕:
安裝 Roles Based Provisioning Module
39
novdocx (zh-tw) 16 April 2010
6 以 LDAP 格式提供管理員名稱並輸入密碼,另外還請指定 LDAP 伺服器的連接埠。
如果使用者身分證明無效,或者使用者不具備必要權限,則安裝程式會顯示出錯螢幕:
如果使用者身分證明有效,且使用者具備適當的權限,則安裝程式會顯示 「Roles
Based Provisioning Module 驅動程式文件庫的安裝位置」螢幕:
40
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
7 指定磁碟上用於儲存驅動程式文件庫的目標位置,然後按 「
安裝程式會顯示 「安裝前摘要」螢幕:
下一步
」。
安裝 Roles Based Provisioning Module
41
novdocx (zh-tw) 16 April 2010
8 如果摘要資訊正確,請按一下 「
當安裝程序完成時,安裝程式會顯示 「安裝完成」螢幕:
安裝
」,開始執行安裝程序。
附註: 如果需要解除安裝與 RBPM 相關聯的執行時期元件,解除安裝程式會自動將伺服器
機器重新開機,除非您正在以靜音模式在 Windows 上執行解除安裝程式。此種情況下,您
需要手動將 Windows 機器重新開機。此外,如果想在整合式安裝程式之外解除安裝 Identity
Manager ,則需要先停止 NDS 服務,然後再啟動解除安裝程式。
3.4 手動延伸綱要
本節提供手動延伸綱要的指示。只有在解決 eDirectory 未安裝在預設位置或未在預設 LDAP
連接埠 389 與 636 上執行的情況下所發生的問題時,才需要執行這些步驟。
若要手動延伸綱要 (Windows) :
1 在安裝 Identity Manager 之後,停止 eDirectory 。
2 執行以下指令,以延伸位於 eDirectory 安裝位置之
<eDirLocation>\schemaStart.bat <eDirLocation> yes <admin name with tree>
<password> yes 6 " " " <schemafileName>"
"<serverName>" <dibPathLocation>
附註: <dibPathLocation> 必須包含 DIBFiles 資料夾。
以下為一個指令範例:
sch_nt.cfg
中列出的綱要。
42
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
C:\eDir\NDS\schemaStart.bat "C:\eDir\NDS" yes
".cn=admin.o=n.T=IDM-INSTALLISSUE." "n" yes 6 " "
"C:\eDir\NDS\ vrschema.sch" ".CN=WIN2008-64-NDS.O=n.T=IDMINSTALLISSUE."
"C:\DIB\NDS\DIBFiles"
附註: 上面的指令並不會使用 sch_nt.cfg 來延伸所有綱要檔案,而是以手動方式延伸
sch_nt.cfg 中指定的每個綱要檔案。
novdocx (zh-tw) 16 April 2010
3 取消勾選 「
選取元件
」視窗中的 「
綱要延伸
」選項,然後安裝角色與資源驅動程式
( 依照第 3.3 節 「執行 RBPM 安裝程式」 ( 第 36 頁 ) 中所述 )。完成安裝。
4 安裝角色與資源驅動程式之後,透過執行步驟 2 ( 第 42 頁 ) 中列出的指令,延伸角色綱
要檔案
srvprv.sch
附註: 此程序會使用
與
nrf-extensions.sch
schemaStart.bat
。
延伸所需的綱要檔案。這種方式與 《IDM3.6.1
MetaDirectory Readme》(IDM3.6.1 MetaDirectory 讀我檔案 ) 中概述的方法略有不同。
5 使用步驟 2 ( 第 42 頁 ) 中列出的指令,延伸 NrfCaseupdate 綱要 (
update-nrf-case.sch
)。
6 啟動 eDirectory 。
若要手動延伸綱要 (SUSE) :
1 取消勾選 「
( 依照第 3.3 節 「執行 RBPM 安裝程式」 ( 第 36 頁 ) 中所述 )。按 「
2 為驅動程式選擇適當的安裝位置,然後按 「
3 為驅動程式組態檔案選擇適當的安裝位置,然後按 「
選取元件
」視窗中的 「
綱要延伸
」選項,然後安裝角色與資源驅動程式
下一步
」。
下一步
下一步
」。完成安裝。
」。
步驟 1 至 3 會複製 eDirectory 非預設位置中的驅動程式與驅動程式組態檔案。
4 執行
ndssch
指令以延伸綱要 ( 即
ndssch [-h hostname[:port]] [-t tree_name] admin-FDN schemafile...
srvprv.sch
與
nrf-extensions.sch
)。
例如︰
ndssch -h 172.16.1.137:524 -t TESTTREE -p 'PASSWORD'
.cn=admin.o=novell.T=TESTTREE.
/opt/novell/eDirectory/lib/nds-schema/srvprv.sch'
5 重複步驟 4 以延伸
nrf-extensions.sch
。
安裝 Roles Based Provisioning Module
43
novdocx (zh-tw) 16 April 2010
44
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
4
建立驅動程式
本章說明如何建立使用 Roles Based Provisioning Module (RBPM) 時所需的驅動程式。主題包
括:
第 4.1 節「在 Designer 中建立驅動程式」 ( 第 45 頁 )
必須先建立使用者應用程式驅動程式,才能建立角色與資源服務驅動程式。因為角色與資源
服務驅動程式會參考使用者應用程式驅動程式中的角色 Vau lt 容器 (RoleConfig.AppConfig) ,
所以需要先建立使用者應用程式驅動程式。
驅動程式組態支援允許您執行下列工作:
將一個使用者應用程式驅動程式與一個角色與資源服務驅動程式相關聯。
將一個使用者應用程式與一個使用者應用程式驅動程式相關聯。
重要: 在此版本中,您將不再能透過 iManager 建立使用者應用程式驅動程式和角色與資源
服務驅動程式。系統不再支援這種建立驅動程式的方式。現在,要建立這些驅動程式,您需
要使用 Designer 中提供的新的套件管理功能,如下所述。
novdocx (zh-tw) 16 April 2010
4
4.1 在 Designer 中建立驅動程式
本節提供在 Designer 中建立驅動程式的指示。主題包括:
第 4.1.1 節 「安裝套件」 ( 第 45 頁 )
第 4.1.2 節「在 Designer 中建立使用者應用程式驅動程式」 ( 第 47 頁 )
第 4.1.3 節「在 Designer 中建立角色與資源服務驅動程式」 ( 第 51 頁 )
第 4.1.4 節 「部署驅動程式」 ( 第 53 頁 )
4.1.1 安裝套件
在嘗試設定驅動程式之前,您需要先確定套件目錄中存在所有必要的套件。在建立新的
Identity Manager 專案時,使用者介面會自動提示您將幾個套件輸入至新的專案中。若您在
建立專案時選擇不輸入套件,則需要在以後予以安裝,如下所述。
若要在建立新的 Identity Manager 專案之後安裝套件︰
1 在 Designer 中建立新的 Identity Manager 專案之後,選取 「
輸入套件
「
」。
套件目錄
」,然後按一下
建立驅動程式
45
novdocx (zh-tw) 16 April 2010
Designer 會顯示 「
選取套件
」對話方塊。
2 按一下 「
46
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
全部選取
」,然後按一下 「
確定
」。
novdocx (zh-tw) 16 April 2010
Designer 會在 「
模型產生器
中「
3 按一下 「
套件目錄
」檢視窗右側調色盤中的一些物件相對應。
儲存
」以儲存專案。
」下新增數個新的套件資料夾。這些套件資料夾與 Designer
4.1.2 在 Designer 中建立使用者應用程式驅動程式
若要在 Designer 中建立使用者應用程式驅動程式:
1 在「
模型產生器
」檢視窗的調色盤中選取 「
使用者應用程式
」。
2 將「
使用者應用程式
Designer 會顯示 「
」的圖示拖曳至 「
驅動程式組態精靈
模型產生器
」:
」檢視窗中。
建立驅動程式
47
novdocx (zh-tw) 16 April 2010
3 選取 「
使用者應用程式基礎
」,然後按 「
下一步
」:
介面會顯示一個對話方塊,通知您需要幾個額外的套件︰
48
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
4 按一下 「
此時,精靈會顯示一個螢幕,讓您為驅動程式命名。
5 您可以接受預設驅動程式名稱,也可以根據需要加以變更。
按「
現在,精靈會顯示一個螢幕,讓您指定驅動程式的連接參數。
6 指定使用者應用程式管理員的 ID 與密碼,以及使用者應用程式伺服器的主機、連接埠
與應用程式網路位置。若要允許佈建管理員以其他人 ( 佈建管理員指定為該使用者的代
理 ) 的名義啟動工作流程,請對 「
確定
下一步
」安裝所需的套件。
」。
允許啟始者覆寫功能
」選取 「是」:
建立驅動程式
49
novdocx (zh-tw) 16 April 2010
精靈會顯示 「
7 如果所有資訊都正確無誤,請按一下 「
Designer 會將 「
確認安裝任務
使用者應用程式
」螢幕。
」驅動程式新增至 「
完成
」。
模型產生器
」檢視窗:
50
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
4.1.3 在 Designer 中建立角色與資源服務驅動程式
若要在 Designer 中建立角色與資源服務驅動程式:
novdocx (zh-tw) 16 April 2010
1 在「
2 將「
3 選取 「
4 您可以接受預設驅動程式名稱,也可以根據需要加以變更。
5 指定基礎容器及您剛才建立之使用者應用程式驅動程式的 DN 。由於該驅動程式尚未部
模型產生器
角色服務
Designer 會顯示 「
角色與資源服務基礎
精靈會顯示一個螢幕,讓您指定驅動程式的名稱。
按「
下一步
現在,精靈會顯示一個螢幕,讓您指定驅動程式的連接參數。
署,瀏覽功能不會顯示剛才設定的使用者應用程式驅動程式,因此您可能需要鍵入驅動
程式的 DN 。
另外請提供使用者應用程式的 URL ,以及使用者應用程式管理員的 ID 與密碼:
」檢視窗的調色盤中選取 「
」的圖示拖曳至 「
模型產生器
驅動程式組態精靈
」,然後按 「
」。
」。
角色服務
」檢視窗中。
下一步
」。
」︰
建立驅動程式
51
novdocx (zh-tw) 16 April 2010
按「
下一步
此時精靈會顯示 「
6 如果所有資訊都正確無誤,請按一下 「
」。
確認安裝任務
」螢幕:
完成
」。
52
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
Designer 會將 「
角色服務
」驅動程式新增至 「
模型產生器
」檢視窗:
4.1.4 部署驅動程式
若要部署剛才設定的驅動程式:
1 選取 「驅動程式集」 ( 在「
2 選擇 「
Designer 會開啟一個進度視窗,顯示正在部署的物件:
即時
」 > 「
部署
模型產生器
」。
」或 「
大綱
」檢視窗中 )。
建立驅動程式
53
部署程序完成後,您便可以在 iManager 中啟動這些驅動程式。
附註: 複製 eDirectory 環境時,必須確保複製本包含 Identity Manager 的 NCP 伺服器物件。
Identity Manager 只能做為伺服器的本地複製本。因此,如果次要伺服器未包含該伺服器物
件,則角色與資源服務驅動程式可能無法正常啟動。
novdocx (zh-tw) 16 April 2010
54
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
5
在 JBoss 上安裝使用者應用程式
本章說明如何在 JBoss 應用程式伺服器上使用安裝程式的圖形使用者介面版本來安裝 Roles
Based Provisioning Module 適用的使用者應用程式。本章包含下列主題:
第 5.1 節 「安裝和設定使用者應用程式 WA R」 ( 第 55 頁 )
第 5.2 節 「測試安裝」 ( 第 75 頁 )
如果您希望使用指令行進行安裝,請參閱第 8 章 「使用主控台或單一指令來安裝」( 第 123
頁 )。
以根使用者身分執行安裝程式 您需要以根使用者身分執行安裝程式。
novdocx (zh-tw) 16 April 2010
5
資料移轉 如需移轉的相關資訊,請參閱
www.novell.com/documentation/idm40/index.html)。
《使用者應用程式:移轉指南》
(http://
5.1 安裝和設定使用者應用程式 WAR
附註: 對於 JBoss 5.1.0 ,安裝程式需要使用 Sun 的 Java 2 Platform Standard Edition
Development Kit 1.6 版 (JRE 或 JDK) 。如果使用其他版本,安裝程序將無法成功設定使用者
應用程式 WA R 檔案。安裝會顯示成功,但是當您嘗試啟動 「使用者應用程式」時會發生錯
誤。
1 從指令行啟動您平台適用的安裝程式:
請務必使用正確的 Sun JRE 版本 ( 如第 1.3 節 「系統要求」 ( 第 12 頁 ) 中所述 ) 來啟動
使用者應用程式安裝程式。若之前使用 Roles Based Provisioning Module 提供的
JBossPostgreSQL 公用程式安裝了 JRE,現在便可以使用以下指令來啟動安裝程式︰
Linux/Solaris
$ /opt/novell/jre/bin/java -jar IdmUserApp.jar
Windows
C:\Novell\InstallFiles\> "C:\Program Files\Java\jdk1.6.0_14\bin\java.exe"
-jar IdmUserApp.jar
附註: SLES 使用者:請勿使用 SLES 隨附的 IBM * JDK。此版本與該安裝有多處不相
容,可能會導致萬能金鑰損毀的錯誤。
安裝程式啟動時會提示您選擇語言︰
在 JBoss 上安裝使用者應用程式
55
novdocx (zh-tw) 16 April 2010
2 根據下列資訊選擇語言、確認授權合約並選取應用程式伺服器平台:
安裝畫面 描述
使用者應用程式安裝 選取安裝程式的語言。預設值為英語。
授權合約 閱讀授權合約,然後選取 「
我接受授權合約中的條款
」。
56
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
應用程式伺服器平台 選取 JBoss 。
novdocx (zh-tw) 16 April 2010
如果在 JBoss 上安裝,您需要使用 Sun 的 Java 環境啟動安裝程式。
如果選取 JBoss 作為您的應用程式伺服器,而且不使用 Sun 的 Java
來啟動安裝,則系統會顯示快顯錯誤訊息,並終止安裝:
3 根據下列資訊選取安裝類型、選擇安裝資料夾,並設定資料庫:
在 JBoss 上安裝使用者應用程式
57
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
安裝類型
選擇安裝資料夾 指定安裝程式應該將檔案放在何處。
角色佈建
此版本唯一支援的安裝類型。
:選取此選項會安裝 Roles Based Provisioning Module 。這是
58
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
資料庫平台 選取資料庫平台︰
novdocx (zh-tw) 16 April 2010
資料庫與 JDBC 驅動程式必須已經安裝。對於 JBoss ,選項包含下列各
項:
MySQL
Microsoft SQL Server
Oracle
PostgreSQL
在 JBoss 上安裝使用者應用程式
59
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
資料庫主機和連接埠
主機
:指定資料庫伺服器的主機名稱或 IP 位址。對於叢集,請為叢集的
每一個成員指定相同的主機名稱和 IP 位址。
連接埠
:指定資料庫的監聽程式連接埠號碼。對於叢集,請為叢集的每
一個成員指定相同的連接埠。
60
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
資料庫使用者名稱與密碼
資料庫名稱
請提供資料庫的名稱。對於 Oracle,請提供您先前建立的 Oracle 系統識
別碼 (SID)。對於叢集,請為叢集的每一個成員指定相同的資料庫名稱或
SID。預設資料庫名稱為
資料庫使用者
成員指定相同的資料庫使用者。
資料庫密碼
相同的資料庫密碼。
資料庫驅動程式
必填欄位。
( 或 SID):對於 PostgreSQL、 MySQL 或 MS SQL Server,
idmuserappdb
名稱:指定資料庫使用者。若是叢集,請為叢集的每一個
:指定資料庫密碼。若是叢集,請為叢集的每一個成員指定
JAR 檔案:為資料庫伺服器提供簡易用戶端 JAR 。此為
。
對於 PostgreSQL ,請選擇 postgresql-8.4-701.jdbc4.jar 檔案:
在 JBoss 上安裝使用者應用程式
61
安裝畫面 描述
資料庫管理員 此螢幕已預先填入 「資料庫使用者名稱與密碼」頁面上顯示的使用者名
稱與密碼。如果之前指定的資料庫使用者不具備足夠許可,因而無法在
資料庫伺服器中建立表格,則需要輸入具備必要權限的其他使用者 ID 。
novdocx (zh-tw) 16 April 2010
62
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
建立資料庫表格 指定應在何時建立資料庫表格:
novdocx (zh-tw) 16 April 2010
「建立資料庫表格」螢幕可讓您選擇是要在安裝時還是在應用程式啟動
時建立表格。此外,您也可以在安裝時建立綱要檔案,資料庫管理員以
後會使用該檔案來建立表格。
將
SQL
如果您要產生綱要檔案,請選取 「
綱要輸出檔案
「
」欄位中提供檔案名稱。
寫入檔案
」核取方塊,並在
在 JBoss 上安裝使用者應用程式
63
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
新資料庫或現有資料庫 如果要使用的是新資料庫或空資料庫,請選取 「
要使用先前的安裝留下的現有資料庫,請選取 「
新資料庫
」按鈕。如果
現有資料庫
」按鈕。
64
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
測試資料庫連接 若要確認之前螢幕中提供的資訊是否正確,可以選取 「
」核取方塊來測試資料庫連接:
接
安裝程式在直接建立表格以及建立 .SQL 檔案時都需要連接至資料庫。
若測試資料庫連接而連接失敗,您還是可以繼續安裝。此種情況下,您
將需要在安裝之後建立表格,如《User Application: Administration
Guide》(
documentation/idmrbpm40/agpro/?page=/documentation/idmrbpm40/
agpro/data/bncf7rj.html) 中所述。
使用者應用程式:管理指南
) (http://www.novell.com/
測試資料庫連
4 根據下列資訊設定 Java 、 JBoss 安裝、 IDM 以及稽核設定與安全性。
在 JBoss 上安裝使用者應用程式
65
安裝畫面 描述
Java 安裝 指定 Java 安裝根資料夾。Java 安裝透過 JAVA_HOME 環境變數來提供 Java 路
徑,並提供修正路徑的選項︰
novdocx (zh-tw) 16 April 2010
此時,安裝程式還會驗證選取的 Java 是否適用於所選的應用程式伺服器。另外,
也會驗證其是否可以寫入指定 JRE 中的 cacerts 。
然後,系統會提示您輸入 JBoss Application Server 的安裝位置。
66
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
JBoss 組態 告知 「使用者應用程式」到何處尋找 「 JBoss 應用程式伺服器」。
此安裝程序不會安裝 「JBoss 應用程式伺服器」。如需安裝 「JBoss 應用程式伺服
器」的說明,請參閱「安裝 JBoss Application Server 和 PostgreSQL 資料庫」( 第
19 頁 )。
JBoss
的上層資料夾
:指定 JBoss Application Server 的位置。
novdocx (zh-tw) 16 April 2010
在 JBoss 上安裝使用者應用程式
67
安裝畫面 描述
IDM 組態 選取應用程式伺服器組態的類型:
如果進行此安裝的節點不屬於叢集,請選取 「
預設值
如果您選取 「
應用程式」。
」,後來又決定需要叢集,那就必須重新安裝 「使用者
如果安裝為叢集的一部分,請選取 「
全部
」
預設
novdocx (zh-tw) 16 April 2010
」。
應用程式網路位置
及 URL 網路位置的名稱。安裝程序檔會建立一個伺服器組態,並會依預設根據
「
應用程式名稱
「使用者應用程式」時,請在 URL 中輸入這個名稱。
工作流程引擎
流程引擎 ID 只對叢集安裝有效,並且僅適用於安裝 IDM 提供 WAR 之時。引擎 ID
名稱不能超過 32 個字元。
程」一節中,有對工作流程引擎 ID 的相關說明。
:應用程式伺服器組態的名稱、應用程式 WAR 檔案的名稱,以
」來命名組態。請將應用程式名稱記錄下來,當您從瀏覽器啟動
ID :叢集的每一個伺服器必須有唯一的 「工作流程引擎 ID」。工作
《使用者應用程式:管理指南》
的 「設定叢集的工作流
68
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
選取稽核記錄類型若要啟用記錄,請按一下 「是」。若要停用記錄,請按一下 「否」。
novdocx (zh-tw) 16 April 2010
下一個面板會提示您指定記錄類型。請從下列選項中選擇:
Novell Identity Audit
用程式的記錄。
或
Novell Sentinel :啟用透過 Novell 用戶端對使用者應
OpenXDAS:將事件記錄至您的 OpenXDAS 記錄伺服器。
如需設定記錄的詳細資訊,請參閱
《使用者應用程式:管理指南》
。
在 JBoss 上安裝使用者應用程式
69
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
Novell Identity
Audit 或
Novell
Sentinel
伺服器
:如果啟用記錄,請指定伺服器的主機名稱或 IP 位址。如果您關閉記錄,就
會忽略這個值。
記錄快取資料夾
:指定記錄快取的目錄。
70
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
安全性 - 萬能
金鑰
是
:可讓您 「匯入」現有的萬能金鑰。如果您選擇輸入現有的加密萬能金鑰,請剪
下此金鑰並貼進安裝程序視窗。
否
:建立新的萬能金鑰。完成安裝之後,您必須手動記錄第 9.1 節 「記錄萬能金
鑰」 ( 第 135 頁 ) 中所述的萬能金鑰。
安裝程序會將加密萬能金鑰寫入安裝目錄中的
匯入現有的萬能金鑰有下列理由:
您想將安裝從臨時系統移到生產系統,並想保留臨時系統中使用的資料庫存取
權限。
您之前將 「使用者應用程式」安裝在 JBoss 叢集的第一個成員上,而現在要
安裝在叢集的後續成員上 ( 它們需要同一個萬能金鑰 )。
由於磁碟發生錯誤,您必須還原 「使用者應用程式」。您必須重新安裝 「使
用者應用程式」,並指定先前安裝所使用的同一個加密萬能金鑰。這可讓您存
取之前儲存的加密資料。
5 若現在要設定 RBPM ,請選取 「
立即設定
」,然後按 「
master-key.txt
下一步
」。
檔案。
在 JBoss 上安裝使用者應用程式
71
novdocx (zh-tw) 16 April 2010
( 如果沒有顯示這些資訊,可能是您未完成第 2.5 節 「安裝 Java 開發套件」 ( 第 29 頁 )
中所述的步驟。)
「Roles Based Provisioning Module 組態」面板的預設檢視窗會顯示下列六個欄位:
72
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝程式會採用 「根容器 DN 」中的值,並將其套用至下列值:
使用者容器 DN
群組容器 DN
安裝程式會採用 「使用者應用程式管理員」欄位中的值,並將其套用至下列值:
佈建管理員
法規遵循管理員
角色管理員
安全性管理員
資源管理員
RBPM 組態管理員
如果要明確指定這些值,可以按一下 「
顯示進階選項
」按鈕並進行變更。
novdocx (zh-tw) 16 April 2010
在 JBoss 上安裝使用者應用程式
73
novdocx (zh-tw) 16 April 2010
「使用者應用程式」的安裝可讓您設定 「使用者應用程式」組態參數。安裝之後,這些
參數之中有大部分也可透過
configupdate.sh
或
configupdate.bat
參數描述中說明。
如需每一個選項的說明,請參閱附錄 A 「IDM 使用者應用程式組態參考」( 第 143 頁 ) 。
6 根據以下資訊完成此安裝。
74
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
進行編輯;如有例外,則於
安裝畫面 描述
安裝前摘要 閱讀 「安裝前摘要」頁面,確認您選擇的安裝參數。
如有必要,請使用 「上一步」,返回先前的安裝頁面變更安裝參
數。
「使用者應用程式」組態頁面不會儲存這些值,因此在您重新指定
先前的安裝頁面時,請務必重新輸入 「使用者應用程式」的組態
值。對安裝和組態參數感到滿意之後,請返回 「安裝前摘要」頁
面並按一下 「安裝」。
安裝完成 表示已完成安裝。
安裝程式會建立 novlua 使用者 安裝程式會建立名為 novlua 的新使用者。jboss_init 程序
檔會以此使用者身分執行 JBoss ,並且會將 JBoss 檔案中定義的許可權設定給此使用
者。
5.1.1 檢視安裝和記錄檔案
novdocx (zh-tw) 16 April 2010
如果安裝完成並且未發生任何錯誤,請繼續測試安裝 。如果安裝發生錯誤或警告,請檢閱記
錄檔案來找出問題。
Identity_Manager_User_Application_Installlog.log
Novell-Custom-Install.log
會存放 「使用者應用程式」在安裝期間的組態資訊。
中保留基本安裝工作的結果。
5.2 測試安裝
1 啟動資料庫。 如需指示,請參閱資料庫文件。
2 啟動 「使用者應用程式」伺服器 (JBoss) 。在指令行中將安裝目錄做為工作目錄,然後
執行下列程序檔 ( 由 「使用者應用程式」安裝所提供 ):
/
etc/init.d/jboss_init start
start-jboss.bat
(Windows)
如果您執行的不是 X11 Window System,則需要在伺服器啟動程序檔中包含 -
Djava.awt.headless=true
JAVA_OPTS="-Djava.awt.headless=true -server -Xms256M -Xmx256M-XX:MaxPermSize=256m"
3 啟動 「使用者應用程式」驅動程式。這可建立與 「使用者應用程式」驅動程式之間的
通訊。
3a 登入 iManager 。
3b 在左導覽框架中的 「角色和任務」顯示中,選取 「Identity Manager 」之下的
「Identity Manager
3c 在出現的內容檢視窗中,指定包含 「使用者應用程式」驅動程式的驅動程式集,
然後按一下 「
式。
(Linux 與 Solaris)
旗標。這是執行報告所必需的。例如,可在程序檔中包含以下行:
概觀
」。
搜尋
」。即會出現一個圖形,顯示驅動程式集及其相關聯的驅動程
3d 按一下驅動程式上的紅色和白色圖示。
在 JBoss 上安裝使用者應用程式
75
novdocx (zh-tw) 16 April 2010
3e 選取 「
動。
驅動程式在啟動時,會嘗試和 「使用者應用程式」一同 「交換信號」
("handshake") 。如果您的應用程式伺服器沒有在執行,或者 WA R 沒有成功部署,
驅動程式就會傳回錯誤。
4 若要啟動並登入 「使用者應用程式」,請使用您的網頁瀏覽器前往 以下 URL:
http://
在此 URL 中,
myserver.domain.com),連接埠是應用程式伺服器的連接埠 ( 例如, JBoss 上預設為
8180)。
資訊時,指定了應用程式名稱。
出現 「Novell Identity Manager 使用者應用程式」抵達頁面。
5 在該頁的右上角,按一下 「
完成這些步驟時,如果 「Identity Manager 使用者應用程式」頁面沒有在瀏覽器中出現,則
請檢查終端機主控台是否有錯誤訊息,並請您參閱第 9.9 節 「疑難排解」 ( 第 139 頁 ) 。
啟動驅動程式
」。驅動程式狀態會變更為陰陽符號,表示驅動程式已經啟
主機名稱:連接埠/應用程式名稱
主機名稱:連接埠
應用程式名稱
預設為 IDMProv 。在安裝期間,當您提供應用程式伺服器的組態
是應用程式伺服器的主機名稱 ( 例如,
登入
」,以登入 「使用者應用程式」。
76
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
6
在 WebSphere 上安裝使用者應用程式
本章說明如何使用圖形使用者介面版本的安裝程式在 WebSphere 應用程式伺服器上安裝
Roles Based Provisioning Module 適用的使用者應用程式。
第 6.1 節 「安裝和設定使用者應用程式 WA R」 ( 第 77 頁 )
第 6.2 節 「設定 WebSphere 環境」 ( 第 89 頁 )
第 6.3 節 「部署 WA R 檔案」 ( 第 103 頁 )
第 6.4 節 「啟動和存取使用者應用程式」 ( 第 103 頁 )
以非根使用者的身分執行安裝程式。
novdocx (zh-tw) 16 April 2010
6
資料移轉 如需移轉的相關資訊,請參閱
www.novell.com/documentation/idm40/index.html)。
《使用者應用程式:移轉指南》
(http://
6.1 安裝和設定使用者應用程式 WAR
附註: 若是 WebSphere 7.0,安裝程序需要 IBM 的 1.6 版 JDK。如果使用其他版本,安裝程
序將無法成功設定使用者應用程式 WA R 檔案。安裝會顯示成功,但是當您嘗試啟動 「使用
者應用程式」時會發生錯誤。
1 瀏覽至含有安裝檔案的目錄。
2 必須將無限制的規則檔案套用至 IBM JDK 。您可以參閱 WebSphere 文件,獲取 IBM 提
供的這些檔案的連結以及套用檔案的相關指示。請在進行安裝前先將這些檔案套用至
IBM JDK 環境。無限制規則檔案的 JAR 檔案必須放置於 JAVA_HOME\jre\lib\security
下。
如果不使用這些無限制規則檔案,則會出現 「金鑰大小不正確」的錯誤。出現此問題
的根本原因是缺少無限制規則檔案,因此請務必使用正確的 IBM JDK 。
3 使用 IBM Java 環境啟動安裝程式,如下所示:
Linux 或 Solaris
$ /opt/WS/IBM/WebSphere/AppServer/java/bin/java -jar IdmUserApp.jar
Windows
C:\WS\IBM\WebSphere\AppServer\java\bin\java -jar IdmUserApp.jar
安裝程式啟動時會提示您選擇語言︰
在 WebSphere 上安裝使用者應用程式
77
novdocx (zh-tw) 16 April 2010
4 根據下列資訊選取語言、確認授權合約並選取應用程式伺服器平台:
安裝畫面 描述
使用者應用程式安裝 選取安裝程式的語言。預設值為英文。
授權合約 閱讀授權合約,然後選取 「
應用程式伺服器平台 選取 WebSphere 。
如果 「 使用者應用程式」的 WAR 檔案所在的目錄與安裝程式的不
同,安裝程式就會提示您輸入 WAR 的路徑。
如果 WAR 儲存於預設位置,請按一下「
WAR 檔案的位置,按一下 「選擇」並選取位置。
如果在 WebSphere 上安裝,您需要使用 IBM 的 Java 環境啟動安裝程
式。如果選取 WebSphere 作為您的應用程式伺服器,而不使用 IBM
的 Java 來啟動安裝,則系統會顯示快顯錯誤訊息,並終止安裝:
我接受授權合約中的條款
還原預設資料夾
」。
」。若要指定
78
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
5 根據下列資訊選取安裝類型、選擇安裝資料夾,並設定資料庫:
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
安裝類型
選擇安裝資料夾 指定安裝程式應該將檔案放在何處。
資料庫平台 選取資料庫平台。必須已安裝資料庫和 JDBC 驅動程式。對於
角色佈建
版本唯一支援的安裝類型。
WebSphere ,選項包含下列各項:
:選取此選項會安裝 Roles Based Provisioning Module 。這是此
Oracle
Microsoft SQL Server
IBM DB2
PostgreSQL
資料庫主機和連接埠
主機
:指定資料庫伺服器的主機名稱或 IP 位址。對於叢集,請為叢集的每
一個成員指定相同的主機名稱和 IP 位址。
連接埠
:指定資料庫的監聽程式連接埠號碼。對於叢集,請為叢集的每一
個成員指定相同的連接埠。
在 WebSphere 上安裝使用者應用程式
79
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
資料庫使用者名稱與密
碼
資料庫名稱
供您預先設定的資料庫名稱。對於 Oracle ,請提供您之前建立的 Oracle 系
統識別碼 (SID) 。對於叢集,請為叢集的每一個成員指定相同的資料庫名稱
和 SID 。
資料庫使用者
員指定相同的資料庫使用者。
資料庫密碼
同的資料庫密碼。
資料庫驅動程式
填欄位。
重要: 使用 「
個 jar 。但對於 DB2 ,必須提供兩 (2) 個 jar :
( 或 SID) :對於 DB2 、MS SQL Server 或 PostgreSQL,請提
名稱:指定資料庫使用者。若是叢集,請為叢集的每一個成
:指定資料庫密碼。若是叢集,請為叢集的每一個成員指定相
JAR 檔案:為資料庫伺服器提供簡易用戶端 JAR 。此為必
資料庫驅動程式
JAR 檔案」欄位的瀏覽按鈕只能選取一 (1)
db2jcc.jar
db2jcc_license_cu.jar
因此,您可以選取一個 JAR ,但第二個 JAR 必須手動輸入,並使用執行安
裝程式之作業系統所適用的正確檔案分隔符。您也可以手動輸入兩個項目。
例如,在 Windows 上:
c:\db2jars\db2jcc.jar;c:\db2jars\db2jcc_license_cu.jar
例如,在 Solaris 和 Linux 上︰
/home/lab/db2jars/db2jcc.jar:/home/lab/
db2jcc_license_cu.jar
80
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
資料庫管理員 此螢幕已預先填入 「資料庫使用者名稱與密碼」頁面上顯示的使用者名稱
與密碼。如果之前指定的資料庫使用者不具備足夠許可,因而無法在資料
庫伺服器中建立表格,則需要輸入具備必要權限的其他使用者 ID 。
novdocx (zh-tw) 16 April 2010
建立資料庫表格 指定應在何時建立資料庫表格:
在 WebSphere 上安裝使用者應用程式
81
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
新資料庫或現有資料庫 如果要使用的是新資料庫或空資料庫,請選取 「
使用先前的安裝留下的現有資料庫,請選取 「
測試資料庫連接 若要確認之前螢幕中提供的資訊是否正確,可以選取 「
核取方塊來測試資料庫連接:
新資料庫
現有資料庫
」按鈕。如果要
」按鈕。
測試資料庫連接
」
安裝程式在直接建立表格以及建立 .SQL 檔案時都需要連接至資料庫。若測
試資料庫連接而連接失敗,您還是可以繼續安裝。此種情況下,您將需要
《
在安裝之後建立表格,如
者應用程式:管理指南
agpro/?page=/documentation/idm40/agpro/data/bncf7rj.html) 中所述。
82
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
User Application: Administration Guide》(
) (http://www.novell.com/documentation/idm40/
使用
6 根據下列資訊設定 Java 、 IDM 以及稽核設定與安全性。
安裝畫面 描述
Java 安裝 指定 Java 安裝根資料夾。Java 安裝透過 JAVA _ H O ME 環境變數來提供 Java 路
徑,並提供修正路徑的選項︰
novdocx (zh-tw) 16 April 2010
此時,安裝程式還會驗證選取的 Java 是否適用於所選的應用程式伺服器。另外,
也會驗證其是否可以寫入指定 JRE 中的 cacerts 。
在 WebSphere 上安裝使用者應用程式
83
安裝畫面 描述
IDM 組態 選取應用程式伺服器組態的類型:
如果進行此安裝的節點不屬於叢集,請選取 「
預設值
如果您選取 「
應用程式」。
」,後來又決定需要叢集,那就必須重新安裝 「使用者
如果安裝為叢集的一部分,請選取 「
全部
」
預設
novdocx (zh-tw) 16 April 2010
」。
應用程式網路位置
及 URL 網路位置的名稱。安裝程序檔會建立一個伺服器組態,並會依預設根據
「
應用程式名稱
「使用者應用程式」時,請在 URL 中輸入這個名稱。
:應用程式伺服器組態的名稱、應用程式 WAR 檔案的名稱,以
」來命名組態。請將應用程式名稱記錄下來,當您從瀏覽器啟動
84
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
安裝畫面 描述
選取稽核記錄類型若要啟用記錄,請按一下 「是」。若要停用記錄,請按一下 「否」。
novdocx (zh-tw) 16 April 2010
下一個面板會提示您指定記錄類型。請從下列選項中選擇:
Novell Identity Audit
用戶端記錄的功能。
或
Novell Sentinel :對使用者應用程式啟用透過 Novell
OpenXDAS:將事件記錄至您的 OpenXDAS 記錄伺服器。
如需設定記錄的詳細資訊,請參閱
《使用者應用程式:管理指南》
。
在 WebSphere 上安裝使用者應用程式
85
安裝畫面 描述
novdocx (zh-tw) 16 April 2010
Novell Identity
Audit 或 Novell
Sentinel
安全性 - 萬能金
鑰
伺服器
:如果啟用記錄,請指定伺服器的主機名稱或 IP 位址。如果您關閉記錄,
就會忽略這個值。
記錄快取資料夾
是
:可讓您 「匯入」現有的萬能金鑰。如果您選擇輸入現有的加密萬能金鑰,請
剪下此金鑰並貼進安裝程序視窗。
否
:建立新的萬能金鑰。完成安裝之後,您必須手動記錄第 9.1 節 「記錄萬能金
鑰」 ( 第 135 頁 ) 中所述的萬能金鑰。
安裝程序會將加密萬能金鑰寫入安裝目錄中的
匯入現有的萬能金鑰有下列理由:
:指定記錄快取的目錄。
您想將安裝從臨時系統移到生產系統,並想保留臨時系統中使用的資料庫存
取權限。
您之前將 「使用者應用程式」安裝在 叢集的第一個成員上,而現在要安裝在
叢集的後續成員上 ( 它們需要同一個萬能金鑰 )。
由於磁碟發生錯誤,您必須還原 「使用者應用程式」。您必須重新安裝 「使
用者應用程式」,並指定先前安裝所使用的同一個加密萬能金鑰。這可讓您
存取之前儲存的加密資料。
7 若現在要設定 RBPM ,請選取 「
立即設定
」,然後按 「
master-key.txt
下一步
」。
檔案。
86
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
( 如果沒有顯示這些資訊,可能是您未完成第 2.5 節 「安裝 Java 開發套件」 ( 第 29 頁 )
中所述的步驟。)
「Roles Based Provisioning Module 組態」面板的預設檢視窗會顯示下列六個欄位:
novdocx (zh-tw) 16 April 2010
安裝程式會採用 「根容器 DN 」中的值,並將其套用至下列值:
使用者容器 DN
群組容器 DN
安裝程式會採用 「使用者應用程式管理員」欄位中的值,並將其套用至下列值:
佈建管理員
法規遵循管理員
角色管理員
安全性管理員
資源管理員
RBPM 組態管理員
如果要明確指定這些值,可以按一下 「
顯示進階選項
」按鈕並進行變更。
在 WebSphere 上安裝使用者應用程式
87
novdocx (zh-tw) 16 April 2010
「使用者應用程式」的安裝可讓您設定 「使用者應用程式」組態參數。安裝之後,這些
參數之中有大部分也可透過
configupdate.sh
或
configupdate.bat
參數描述中說明。
如需每一個選項的說明,請參閱附錄 A 「IDM 使用者應用程式組態參考」( 第 143 頁 ) 。
88
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
進行編輯;如有例外,則於
8 根據以下資訊完成此安裝。
安裝畫面 描述
安裝前摘要 閱讀 「安裝前摘要」頁面,確認您選擇的安裝參數。
如有必要,請使用 「上一步」,返回先前的安裝頁面變更安裝參
數。
「使用者應用程式」組態頁面不會儲存這些值,因此在您重新指定
先前的安裝頁面時,請務必重新輸入 「使用者應用程式」的組態
值。對安裝和組態參數感到滿意之後,請返回 「安裝前摘要」頁
面並按一下 「安裝」。
安裝完成 表示已完成安裝。
6.1.1 檢視安裝記錄檔
如果安裝完成時未發生任何錯誤,請移至第 6.2.2 節 「新增使用者應用程式組態檔和 JVM
系統內容」 ( 第 97 頁 )。
novdocx (zh-tw) 16 April 2010
如果安裝發生錯誤或警告,請檢閱記錄檔案來找出問題。
Identity_Manager_User_Application_Installlog.log
Novell-Custom-Install.log
會存放 「使用者應用程式」在安裝期間的組態資訊。
中保留基本安裝工作的結果。
6.2 設定 WebSphere 環境
第 6.2.1 節 「設定連接池」 ( 第 89 頁 )
第 6.2.2 節 「新增使用者應用程式組態檔和 JVM 系統內容」 ( 第 97 頁 )
第 6.2.3 節「將 eDirectory 託管根部輸入至 WebSphere Keystore」 ( 第 102 頁 )
第 6.2.4 節「將 preferIPv4Stack 內容傳送至 JVM」 ( 第 103 頁 )
6.2.1 設定連接池
若要設定連接池以與 WebSphere 搭配使用,您需要建立 JDBC 提供者以及資料來源。本節提
供有關建立提供者和資料來源的指示。
若要建立 JDBC 提供者︰
資源
1 展開 「整合式解決方案主控台」頁左側的 「
」。
在 WebSphere 上安裝使用者應用程式
89
novdocx (zh-tw) 16 April 2010
2 展開 「JDBC 」︰
3 按一下 「JDBC
提供者
」︰
90
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
4 展開 「
範圍
」︰
5 選取 「
6 按一下 「
節點=您伺服器的名稱, 伺服器
新增
」按鈕。
=server1 」。
在 WebSphere 上安裝使用者應用程式
91
novdocx (zh-tw) 16 April 2010
7 選取 「
8 按「
下一步
資料庫類型
」。
」 ( 例如 DB2) 。
9 輸入 JDBC 類別路徑資訊。
92
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
10 按一下
11 按一下
12 按一下 「
若要建立資料來源︰
1 展開該頁左側的 「
2 展開 「JDBC 」。
3 按一下 「
「下一步」
「完成」
儲存
資料來源
。
。
」連結。
資源
」。
」。
在 WebSphere 上安裝使用者應用程式
93
novdocx (zh-tw) 16 April 2010
4 展開 「
5 選取 「
6 按一下 「
7 輸入資料來源名稱和 JNDI 名稱 ( 例如,對兩者均輸入 IDMUADataSource) 。
8 按「
9 按一下 「
範圍
」。
節點=您伺服器的名稱, 伺服器
新增
」按鈕。
下一步
」。
選取一個現有的
JDBC
提供者
=server1 」。
」。
94
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
10 選取您剛才建立的 JDBC 提供者。
11 按「
下一步
」。
12 輸入資料來源所需的資料庫資訊 ( 資料庫名稱、伺服器名稱、連接埠、使用者名稱及密
碼 )。
在 WebSphere 上安裝使用者應用程式
95
novdocx (zh-tw) 16 April 2010
13 按「
14 輸入安全性別名資訊或保留預設資訊。
15 按一下
16 按一下
17 按一下 「
18 按一下名稱左側的核取方塊,選取這個新資料來源。
下一步
」。
「下一步」
「完成」
儲存
。
。
」。
96
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
novdocx (zh-tw) 16 April 2010
19 按一下 「
測試連線
」按鈕,並確認其傳回 「
成功
」。
6.2.2 新增使用者應用程式組態檔和 JVM 系統內容
要成功安裝 WebSphere 必須執行下列步驟:
1 將 「使用者應用程式」安裝目錄中的
WebSphere 伺服器之機器上的某個目錄,例如
「使用者應用程式」安裝目錄是您安裝 「使用者應用程式」所在的目錄。
2 將路徑設定到 JVM 系統內容中的
登入 WebSphere 管理主控台。
3 從左面板中,移至 「
4 按一下伺服器清單中的某個伺服器名稱,例如 server1 。
5 在右面板的設定清單中,移至 「
6 展開連結,選取 「
7 在「
8 選取 JVM 頁面 「
9 按一下 「
額外內容
9a 將「
9b 將「
安裝程式已將
」清單下,選取 「Java
新增
」以新增新的 JVM 系統內容。
名稱
」指定為
值
」指定為您在安裝期間指定的安裝資料夾 ( 目錄 ) 名稱。
伺服器
程序定義
額外內容
sys-configuration-xmldata.xml
>
應用程式伺服器
」。
」標題下的 「
extend.local.config.dir
sys-configuration-xmldata.xml
/UserAppConfigFiles
sys-configuration-xmldata.xml
」。
伺服器基礎結構
虛擬機器
自訂內容
。
」中的 「Java
」。
」。
檔寫入此資料夾中。
檔案複製到代管
。
檔案。以 admin 使用者身分
和程序管理
」。
在 WebSphere 上安裝使用者應用程式
97
novdocx (zh-tw) 16 April 2010
9c 將「
9d 按一下
10 按一下 「
10a 為「
10b 將「
10c 將「
10d 按一下
描述
」指定為該內容的描述,例如 「
確定
來儲存變更。
新增
」以新增另一個新 JVM 系統內容。
名稱
」指定
值
」指定為您在安裝期間指定的安裝資料夾 ( 目錄 ) 名稱。
描述
」指定為該內容的描述,例如 「
確定
來儲存變更。
在您透過
「使用者應用程式」>「管理」>「應用程式組態」>「記錄」
些變更之前,
idmuserapp.logging.config.dir
idmuserapp-logging.xml
檔並不存在。
sys-configuration-xmldata.xml
。
idmuserapp_logging.xml
的路徑
的路徑
」。
」。
保留這
您還需要為 WebSphere 上的使用者應用程式設定共享文件庫。共享文件庫定義為確保應用
程式正常執行所必需的類別載入行為。
若要設定共享文件庫︰
1 為使用者應用程式建立共享文件庫︰
1a 按一下左導覽目錄中的 「
1b 按一下 「
共享文件庫
」。
環境
」。
新增
1c 按一下 「
」按鈕。
1d 輸入名稱 ( 例如 IDMUA 類別載入程式 )。
1e 在 「類別路徑」欄位中輸入所需的 JAR 檔案清單︰
antlr.jar
log4j.jar
commons-logging.jar
附註: 您需要從 Apache 網站下載此 JAR 檔案。
xalan.jar
98
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南
xercesImpl.jar
xsltc.jar
serializer.jar
jaxb-impl.jar
IDMselector.jar
novdocx (zh-tw) 16 April 2010
1f 按一下 「
確定
」。
在 WebSphere 上安裝使用者應用程式
99
novdocx (zh-tw) 16 April 2010
1g 按一下 「
儲存
」連結。
2 將共享文件庫新增至 IDMProv ︰
2a 按一下左側的 「
2b 按一下 「WebSphere
2c 按一下名稱 「IDMProv_war 」。
2d 在頁面底部 「
應用程式
」。
企業應用程式
參考
」下方,按一下 「
」。
共享文件庫參考
」。
100
Identity Manager Roles Based Provisioning Module 4.0 使用者應用程式:安裝指南