本节将帮助您为安装 Identity Applications 做好准备。该应用程序在名为 Roles Based Provisioning Module (RBPM) 的框架上运行。当您安装 Identity Manager 引擎时,安装过程会自动安装 netiq-DXMLuad-4.7.0-0.noarch,而该程序会安装 User Application 驱动程序以及角色和资源驱动程序,并扩展 eDirectory 纲要以便与 RBPM 交互。
安装文件位于 Identity Manager 安装包的 .iso 映像文件中的 products\UserApplication\ 目录下。
如果审计服务器要将 User Application 用作日志应用程序,则您必须将 dirxml.lsc 文件复制到该服务器。本节仅适用于 Novell Identity Audit。
找到 dirxml.lsc 文件。
安装后,此文件位于 Identity Manager User Application 安装目录中,例如 C:\NetIQ\idm\apps\UserApplication。
使用 Web 浏览器访问装有 Novell Identity Audit 插件的 iManager,然后以管理员身份登录。
浏览到角色和任务 > 审计和日志记录,然后选择日志服务器选项。
浏览到树中的“日志记录服务”容器,选择相应的审计安全日志服务器,然后单击确定。
在日志应用程序选项卡中,选择相应的容器名称,然后单击新建日志应用程序链接。
在“新建日志应用程序”对话框中完成以下步骤:
对于“日志应用程序名称”,请根据您的环境指定有意义的任何名称。
对于“导入 LSC 文件”,请浏览到 dirxml.lsc 文件。
单击确定。
单击“确定”完成 Audit 服务器配置。
确保将“日志应用程序”中的状态设置为开。(状态下方的圆圈应为绿色。)
重启动 Audit 服务器以激活新的日志应用程序设置。
身份库管理员是有权配置身份库的用户。这是可与其他管理用户类型共享的逻辑角色。
身份库管理员需要以下权限:
对 User Application 驱动程序及其包含的所有对象的“主管”权限。要实现此目的,可在驱动程序容器级别设置权限,并将这些权限设为可继承。
对通过目录抽象层用户实体定义所定义的任何用户的“主管输入”权限。这应该包括对 objectClass 以及与 DirXML-EntitlementRecipient、srvprvEntityAux 和 srvprvUserAux 辅助类关联的任何属性的“写入属性”权限。
对容器对象 cn=DefaultNotificationCollection, cn=Security 的“主管”权限。此对象保存用于自动供应电子邮件的电子邮件服务器设置。它可以包含对电子邮件服务器本身进行鉴定所用的 SecretStore 身份凭证。
对容器对象 cn=Authorized Login Methods, cn=Security 的“主管”权限。在安装 User Application 期间,系统会在此容器中创建 SAML 声明对象。
在安装 User Application 之前,请确保您对 cn=Security 容器拥有主管权限。在安装 User Application 期间,系统会在 cn=Security 容器下创建 cn=RBPMTrustedRootContainer 容器。
或者,您可以手动创建 cn=RBPMTrustedRootContainer,cn=Security 容器(创建名为可信根容器的对象,并在其 Security 容器中包含 NDSPKI:Trusted Root 对象类),然后指派对该容器的主管权限。
必须在 身份库中手动创建 User Application 管理员帐户,才能正确安装 Roles Based Provisioning Module。User Application 管理员帐户必须是顶层容器的受托者,并且必须对该容器具有主管权限。
在创建 User Application 管理员帐户时,必须为此新用户帐户指派口令策略。有关详细信息,请参见《Password Management Administration Guide》(口令管理管理指南)中的Creating Password Policies
(创建口令策略)。
要为 User Application 管理员帐户创建许可权限,请在 LDAP 数据交换格式 (LDIF) 文件中运行以下命令:
dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 1#subtree#[Root]#[Entry Rights] dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#description dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#directReports dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#mail dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#manager dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#photo dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvQueryList dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#srvprvUserPrefs dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#telephoneNumber dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 3#subtree#%%RBPM_USER_APP_CONTAINER_DN%%#title dn: %%RBPM_USER_APP_CONTAINER_DN%% changetype: modify add: ACL ACL: 17#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[Entry Rights] ACL: 35#subtree#%%RBPM_USER_APP_ADMIN_DN%%#[All Attributes Rights]