迁移先前版本的 Identity Manager 涉及到迁移 Identity Reporting。请务必注意以下事项:
手动将事件审计服务数据迁移到 PostgreSQL 数据库。
清理现有 Reporting 安装。
在新服务器上执行 Identity Reporting 4.7 的全新安装。
为新安装的 Identity Reporting 指定现有鉴定服务和身份库的安装位置。
本节提供有关将 EAS 数据库中的 SIEM 数据迁移到支持的 PostgreSQL 数据库的信息。
您必须创建必要的角色和表空间,以确保迁移期间不会出现故障。
准备新 PostgreSQL 数据库
停止 EAS 以确保不会有任何事件发送到 EAS 服务器。
使用 iManager 停止 DCS 驱动程序:
登录到 iManager。
停止 DCS 驱动程序。
编辑驱动程序属性,将启动选项设置为手动。
此步骤可确保驱动程序不会自动启动。
使用 PGAdmin 运行以下 SQL 命令,创建必要的角色、表空间和数据库。
此步骤可确保迁移期间不会出现故障。
运行以下命令创建必要角色:
CREATE ROLE esec_app NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE esec_user NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE admin LOGIN ENCRYPTED PASSWORD '<specify the password for admin>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO admin; CREATE ROLE appuser LOGIN ENCRYPTED PASSWORD '<specify the password for appuser>' NOSUPERUSER INHERIT NOCREATEDB CREATEROLE; GRANT esec_app TO appuser; CREATE ROLE dbauser LOGIN ENCRYPTED PASSWORD '<specify the password for dbauser>' SUPERUSER INHERIT CREATEDB CREATEROLE; CREATE ROLE idmrptsrv LOGIN ENCRYPTED PASSWORD '<specify the password for idmrptsrv>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO idmrptsrv; CREATE ROLE idmrptuser LOGIN ENCRYPTED PASSWORD '<specify the password for idmrptuser>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; CREATE ROLE rptuser LOGIN ENCRYPTED PASSWORD '<specify the password for rptuser>' NOSUPERUSER INHERIT NOCREATEDB NOCREATEROLE; GRANT esec_user TO rptuser;
运行以下命令创建表空间:
CREATE TABLESPACE sendata1 OWNER dbauser LOCATION '<provide the location where table space has to be created>';
例如:
CREATE TABLESPACE sendata1 OWNER dbauser LOCATION '</opt/netiq/idm/apps/postgres/data>';
运行以下命令创建 SIEM 数据库:
CREATE DATABASE "SIEM"
WITH OWNER = dbauser
ENCODING = 'UTF8'
TABLESPACE = sendata1
CONNECTION LIMIT = -1;导出 EAS 中的数据
停止 EAS 以确保不会有任何事件发送到 EAS 服务器。
使用 iManager 停止 DCS 驱动程序:
登录到 iManager。
停止 DCS 驱动程序。
编辑驱动程序属性,将启动选项设置为手动。
此步骤可确保驱动程序不会自动启动。
将 EAS 数据库中的数据导出到文件:
登录 EAS 用户帐户:
# su - novleas
指定 EAS 用户具有完全访问权限的位置,例如 /home/novleas。
浏览到 PostgreSQL 安装目录并执行以下命令:
例如:
export PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/bin/:$PATH
export LD_LIBRARY_PATH=/opt/novell/sentinel_eas/3rdparty/postgresql/lib/:$LD_LIBRARY_PATH
使用以下命令将数据导出到 .sql 文件:
./pg_dump -p <端口号> -U <用户名> -d <数据库名称> -f <导出位置>
例如,
./pg_dump -p 15432 -U dbauser SIEM -f /home/novleas/SIEM.sql
将数据导入到新 PostgreSQL 数据库中
停止 EAS 以确保不会有任何事件发送到 EAS 服务器。
使用 iManager 停止 DCS 驱动程序:
登录到 iManager。
停止 DCS 驱动程序。
编辑驱动程序属性,将启动选项设置为手动。
此步骤可确保驱动程序不会自动启动。
将数据导入到新的 PostgreSQL 数据库:
(视情况而定)创建一个 postgres 用户。
此步骤仅针对 Windows。Linux 上会自动创建用户。
将步骤 3.d 中导出的文件复制到该 postgres 用户具有完全访问权限的位置。例如: /opt/netiq/idm/postgres
执行以下命令将数据导入到 PostgreSQL 数据库。
psql -d <数据库名称> -U <用户名> -f <导出文件所在位置的完整路径>
例如:
psql -d SIEM -U postgres -f /opt/netiq/idm/apps/postgres/SIEM.sql
检查是否存在任何迁移日志错误,如有则予以解决。
注:Identity Manager 4.7 报告将不使用从 EAS 迁移到 SLM for IGA 的审计数据,而是使用直接从 SLM for IGA 同步的审计数据。
将 EAS 数据导入到新 PostgreSQL 数据库后,在另一台服务器上安装新的 Reporting 应用程序,并让它指向身份库和现有鉴定服务。
停止运行现有 Reporting 应用程序的现有 Tomcat 服务。
在 Tomcat 安装路径外部,为 /opt/netiq/idm/apps/ 下 tomcat/webapps 目录和 Reporting 主目录中的现有 Identity Reporting WAR 文件创建备份
从现有 server.xml 文件中去除 EAS 条目。
在迁移 EAS 数据的同一个 PostgreSQL 数据库中创建新数据库。
在新服务器上安装和配置 Identity Reporting,并让它指向现有单点登录服务和身份库。有关详细信息,请参见部分 10.0, 配置安装的组件。
要让现有单点登录服务指向新安装的 Identity Reporting,请使用配置更新实用程序修改 Identity Reporting 配置条目。
重启动运行现有单点登录服务的 Tomcat 服务器。
配置 Reporting 服务器之后,需要创建数据同步策略以将事件从 SLM for IGA 转发到 Reporting 数据库。升级到 Identity Reporting 4.7 时,请注意以下事项。
注:
如果您要从 Identity Reporting 4.5.6 升级到 Identity Reporting 4.7,则需要在 Identity Manager 的“数据收集服务”页面中创建新策略。有关详细信息,请参见《Administrator Guide to NetIQ Identity Reporting》(NetIQ Identity Reporting 管理员指南)中的“About the Data Sync Policies tab”(关于“数据同步策略”选项卡)。
如果您要从 Identity Reporting 4.6.x 升级到 Identity Reporting 4.7,请按照《NetIQ Identity Manager 4.7 发行说明》的“Identity Manager 升级问题”中的步骤操作。