In diesem Abschnitt finden Sie Informationen zur Aufrüstung der Identitätsanwendungen und unterstützenden Software, wozu die Aktualisierung der folgenden Komponenten gehört:
Identity Manager-Benutzeranwendung
One SSO Provider (OSP)
Self-Service Password Reset (SSPR)
Tomcat, JDK und ActiveMQ
PostgreSQL-Datenbank
Nach der Aufrüstung sind folgende Komponentenversionen installiert:
Tomcat – 8.5.27
ActiveMQ – 5.15.2
Java – 1.8.0_162
One SSO-Anbieter – 6.2.1
Self-Service-Funktionen für die Passwortrücksetzung – 4.2.0.4
Dieser Abschnitt enthält Informationen zu folgenden Themen:
Im Rahmen des Aufrüstungsvorgangs werden die Konfigurationswerte der vorhandenen Komponenten gelesen. Hierzu gehören die Dateien ism-configuration.properties, server.xml, SSPRConfiguration und weitere Konfigurationsdateien. Beim Aufrufen dieser Konfigurationsdateien wird intern das Aufrüstungsprogramm für die zugehörigen Komponenten gestartet. Darüber hinaus erstellt dieses Programm eine Sicherung der aktuellen Installation.
Lesen Sie vor einer Aufrüstung die folgenden Überlegungen:
Identity Manager wird auf Version 4.5.6 aufgerüstet: Es ist nicht möglich, von einer Version vor 4.5.6 auf Version 4.7 aufzurüsten. Weitere Informationen zum Aufrüsten auf Identity Manager 4.7 finden Sie unter Abschnitt 25.3, Unterstützte Aufrüstungspfade.
Systemanforderungen: Für die Aufrüstung werden mindestens 3 GB freier Speicherplatz benötigt, um die aktuelle Konfiguration sowie temporäre Dateien zu speichern, die während der Aufrüstung erzeugt werden. Auf Ihrem Server muss ausreichend freier Speicherplatz für die Sicherung vorhanden sein sowie weiterer freier Speicherplatz für die Aufrüstung.
Wenn Sie die Installationsanwendungen in einer separaten Partition installiert haben (also nicht in der Stammpartition), muss die Partition ausreichend Speicherplatz für die Sicherungskonfiguration aufweisen. Außerdem muss das Verzeichnis /tmp ausreichend Speicherplatz für die Protokolle und die temporären Dateien enthalten. Falls der Speicherplatz in diesem Verzeichnis nicht ausreicht, legen Sie in der Umgebungsvariable IATEMPDIR ein Verzeichnis auf einer Partition fest, in dem ausreichend Speicherplatz frei ist. Somit wird das Aufrüstungsprogramm zur Speicherung der Dateien an dieses Verzeichnis verwiesen.
So legen Sie ein Verzeichnis in IATEMPDIR fest:
Öffnen Sie ein Terminal und geben Sie folgenden Befehl ein:
export IATEMPDIR=/opt/custom_tmp
wobei /opt/custom_tmp der Pfad zu dem Verzeichnis ist, in dem ausreichend Speicherplatz zur Verfügung steht.
HINWEIS:Sichern Sie die Zertifikate (cacerts) der Identitätsanwendungen.
Starten Sie das Aufrüstungsprogramm über die Befehlszeile.
Tomcat als Anwendungsserver: Diese Identity Manager-Version unterstützt lediglich Tomcat als Anwendungsserver.
Wenn die Identitätsanwendungen auf einem anderen Anwendungsserver ausgeführt werden (also nicht auf Tomcat), migrieren Sie den Anwendungsserver zu Tomcat, bevor Sie eine Aufrüstung vornehmen. Weitere Informationen finden Sie unter Migrating from Websphere or JBoss to Tomcat (Migrieren von Websphere oder JBoss zu Tomcat).
Die Datenbankplattform wird aufgerüstet: Dieses Programm rüstet nicht die Datenbankplattform für die Identitätsanwendungen auf. Rüsten Sie die aktuelle Datenbankversion manuell auf eine unterstützte Version auf. Weitere Informationen zum Aufrüsten der PostgreSQL-Datenbank finden Sie in Abschnitt 26.5.4, Aufrüsten der PostgreSQL-Datenbank.
Das Rollen- und Ressourcentreiberpaket wird aufgerüstet: Weitere Informationen finden Sie unter Aufrüsten installierter Pakete im Administrationshandbuch zu NetIQ Designer für Identity Manager.
Zurücksetzen von Passwörtern per Selbstbedienung: Stellen Sie beim Aufrüsten von SSPR 4.0 sicher, dass die Eigenschaften CATALINA_OPTS und -Dsspr.application.Path auf den Ordner verweisen, in dem die SSPR-Konfiguration gespeichert ist.
Beispiel:
export CATALINA_OPTS="-Dsspr.applicationPath=/home/sspr_data
Sichern Sie die SSPR-LocalDB vor dem Aufrüsten. Führen Sie die folgenden Schritte zum Exportieren oder Herunterladen der LocalDB aus:
Melden Sie sich beim SSPR-Portal als Administrator an.
Klicken Sie oben rechts auf der Seite im Dropdown-Menü auf Konfigurationsmanager.
Klicken Sie auf LocalDB.
Klicken Sie auf LocalDB herunterladen.
Im Rahmen des Aufrüstungsvorgangs wird eine Sicherung der aktuellen Konfiguration für die installierten Komponenten erstellt. Auf Ihrem Server muss ausreichend freier Speicherplatz für die Sicherung vorhanden sein sowie weiterer freier Speicherplatz für die Aufrüstung.
Vor dem Aufrüsten der PostgreSQL-Datenbank müssen die nachfolgenden Schritte ausgeführt werden.
Halten Sie den PostgreSQL-Dienst an.
su -s /bin/sh - postgres -c "/opt/netiq/idm/apps/postgres/bin/pg_ctl stop -w -D /opt/netiq/idm/apps/postgres/data"
Deaktivieren Sie die vorhandene Unit-Datei für den PostgreSQL-Dienst.
systemctl disable postgresql-9.6.service
Bereinigen Sie die vorhandene Unit-Datei für den PostgreSQL-Dienst.
rm /usr/lib/systemd/system/postgresql-9.6.service
systemctl daemon-reload
systemctl reset-failed
Erstellen Sie ein Sicherungsverzeichnis und sichern Sie das vorhandene PostgreSQL-Verzeichnis.
Beispiel:
mkdir -p /home/backup
cp -rvf /opt/netiq/idm/apps/postgres/ /home/backup/
Navigieren Sie zu dem Speicherort, an dem Sie die Datei Identity_Manager_4.7_Linux.iso eingehängt haben.
Navigieren Sie zum Verzeichnis /common/packages/postgres/.
Installieren Sie die neue Version von PostgreSQL.
rpm -ivh netiq-postgresql-9.6.6-0.noarch.rpm
HINWEIS:Der bisher installierte benutzerdefinierte Speicherort des PostgreSQL-Basisverzeichnisses wird durch /opt/netiq/idm/postgres/ ersetzt.
Erstellen Sie ein data-Verzeichnis im PostgreSQL-Installationsverzeichnis.
mkdir -p <POSTGRES_HOME>/data; <POSTGRES_HOME> steht hier für /opt/netiq/idm/postgres
Beispiel:
mkdir -p /opt/netiq/idm/postgres/data
Ändern Sie die Berechtigungen für das soeben installierte PostgreSQL-Verzeichnis.
chown -R postgres:postgres <Pfad des Postgres-Verzeichnisses>
Beispiel:
chown -R postgres:postgres /opt/netiq/idm/postgres
Erstellen Sie ein postgres-Basisverzeichnis.
Beispiel: mkdir -p /home/users/postgres
Ändern Sie die Berechtigungen für das soeben erstellte PostgreSQL-Basisverzeichnis.
chown -R postgres:postgres <Pfad des Postgres-Basisverzeichnisses>
Beispiel:
chown -R postgres:postgres /home/users/postgres
Exportieren Sie das PostgreSQL-home-Verzeichnis.
export PGHOME=<Pfad des Postgres-home-Verzeichnisses>
Beispiel:
export PG_HOME=/opt/netiq/idm/postgres
Exportieren Sie das PostgreSQL-Passwort:
export PGPASSWORD=<Datenbankpasswort eingeben>
Initialisieren Sie die Datenbank.
su -s /bin/sh - postgres -c "LANG=en_US.UTF-8 <POSTGRES_HOME>/bin/initdb -D <POSTGRES_HOME>/data"
Beispiel:
su -s /bin/sh - postgres -c "LANG=en_US.UTF-8 /opt/netiq/idm/postgres/bin/initdb -D /opt/netiq/idm/postgres/data"
Ersetzen Sie den Pfad zum Postgres-Basisverzeichnis in der Datei/etc/passwd durch /opt/netiq/idm/postgres/.
Navigieren Sie zum Verzeichnis /etc/.
Bearbeiten Sie die Datei passwd.
vi /etc/passwd
Ersetzen Sie das Basisverzeichnis des Postgres-Benutzers durch /opt/netiq/idm/postgres/.
Navigieren Sie zum Verzeichnis /opt/netiq/idm/postgres/.
Melden Sie sich als postgres-Benutzer an.
Beispiel:
su postgres
Migrieren Sie die vorhandenen Daten.
Beispiel:
/opt/netiq/idm/postgres/bin/pg_upgrade --old-datadir /opt/netiq/idm/apps/postgres/data/ --new-datadir /opt/netiq/idm/postgres/data/ --old-bindir /opt/netiq/idm/apps/postgres/bin --new-bindir /opt/netiq/idm/postgres/bin/
Melden Sie sich als postgres-Benutzer ab.
Aktualisieren Sie die Datei pg_hba.conf, sodass das Server-Netzwerk als vertrauenswürdig betrachtet wird:
Navigieren Sie zum Verzeichnis /opt/netiq/idm/postgres/data/.
Bearbeiten Sie die Datei pg_hba.conf:
vi pg_hba.conf
Fügen Sie die folgende Zeile in die Datei pg_hba.conf ein:
host all all 0.0.0.0/0 trust
Aktualisieren Sie die Konfigurationsdatei, sodass die PostgreSQL-Instanz andere Netzwerkinstanzen überwacht, also nicht localhost:
Navigieren Sie zum Verzeichnis /opt/netiq/idm/postgres/data/.
Bearbeiten Sie die Datei postgresql.conf:
vi postgresql.conf
Fügen Sie die folgende Zeile in die Datei postgresql.conf ein:
listen_addresses = '*'
HINWEIS:Sollen nur bestimmte Netzwerkschnittstellen überwacht werden, geben Sie die IP-Adressen als durch Komma getrennte Liste an.
Erstellen Sie das Verzeichnis pg_log unter <Pfad des Postgres-Basisverzeichnisses>/data.
Beispiel:
mkdir -p /opt/netiq/idm/postgres/data/pg_log
Ändern Sie die Berechtigungen für das Verzeichnis pg_log.
chown -R postgres:postgres <Pfad des Postgres-Verzeichnisses>/data/pg_log
Beispiel:
chown -R postgres:postgres /opt/netiq/idm/postgres/data/pg_log
Starten Sie den PostgreSQL-Dienst.
systemctl start netiq-postgresql
Damit wird der neue PostgreSQL-Dienst gestartet.
(Optional) Starten Sie das neue pgAdmin über die Benutzeroberfläche:
Kopieren Sie das Verzeichnis scripts aus dem bisherigen postgres-Basisverzeichnis in das neue postgres-Basisverzeichnis.
Beispiel:
cp -rvf /opt/netiq/idm/apps/postgres/scripts /opt/netiq/idm/postgres
Navigieren Sie zum Verzeichnis /opt/netiq/idm/postgres/scripts.
Bearbeiten Sie launchpgadmin.sh und ersetzen Sie den bisherigen PostgreSQL-Pfad durch den neuen Pfad.
Ersetzen Sie /opt/netiq/idm/apps/postgres/ durch /opt/netiq/idm/postgres.
Navigieren Sie zum Verzeichnis /usr/share/application und bearbeiten Sie die Anwendung .desktop, sodass der neue Pfad für launchpgadmin.sh angegeben wird.
SLES: Bearbeiten Sie die Anwendung pg-pgadmin-9_6.desktop und ersetzen Sie den Wert unter EXEC durch den neuen Pfad für launchpgadmin.sh.
Beispiel:
Ersetzen Sie den Wert für "Exec=/opt/netiq/idm/apps/postgres/scripts/launchpgadmin.sh" durch :"Exec=/opt/netiq/idm/postgres/scripts/launchpgadmin.sh".
RHEL: Navigieren Sie zum Verzeichnis /usr/share/application und erstellen Sie die Datei pg-pgadmin-9_6.desktop mit den folgenden Details:
Beispiel:
[Desktop Entry] Version=1.0 Encoding=UTF-8 Name=pgAdmin 4 Exec=/opt/netiq/idm/postgres/scripts/launchpgadmin.sh Icon=pg-pgadmin-9_6.png Terminal=false Type=Application
Entfernen Sie das bisherige Postgres-Basisverzeichnis aus dem System.
rm -rf /opt/netiq/idm/apps/postgres/
Starten Sie das System neu, damit die Änderungen wirksam werden.
In diesem Abschnitt erfahren Sie, wie Sie die Pakete für den Benutzeranwendungstreiber und den Rollen- und Ressourcenservice-Treiber auf die aktuelle Version aktualisieren. Sie müssen diese Aufgabe vor der Aufrüstung der Identitätsanwendungen ausführen.
Öffnen Sie Ihr aktuelles Projekt in Designer.
Klicken Sie mit der rechten Maustaste auf Paketkatalog, und wählen Sie „Paket importieren“.
Wählen Sie das gewünschte Paket aus. Beispiel: Benutzeranwendungstreiber-Basispaket.
Klicken Sie auf OK.
Klicken Sie in der Entwickler-Ansicht mit der rechten Maustaste auf den Treiber, und klicken Sie auf Eigenschaften.
Navigieren Sie auf der Seite Eigenschaften zur Registerkarte Pakete.
Klicken Sie oben rechts auf das Symbol Paket hinzufügen (+).
Wählen Sie das Paket aus, und klicken Sie auf OK.
Wiederholen Sie dieses Verfahren und rüsten Sie das Paket für den Rollen- und Ressourcenservice-Treiber auf.
HINWEIS:Der Benutzeranwendungstreiber und der Rollen- und Ressourcenservice-Treiber müssen mit der aufgerüsteten Version von Identity Manager verbunden sein.
HINWEIS:Wenn die Identitätsanwendungen und SSPR auf unterschiedlichen Servern installiert sind, müssen Sie SSPR manuell aufrüsten. Weitere Informationen finden Sie unter Aufrüsten von SSPR.
Im nachfolgenden Verfahren erfahren Sie, wie Sie die Identitätsanwendungen aufrüsten.
Laden Sie die Datei Identity_Manager_4.7_Linux.iso von der NetIQ Downloads-Website herunter.
Hängen Sie die heruntergeladene .iso-Datei ein.
Führen Sie den folgenden Befehl aus:
./install.sh
Lesen Sie die Lizenzvereinbarung.
Akzeptieren Sie die Lizenzvereinbarung mit j.
Geben Sie an, ob die Identity Manager-Komponenten aufgerüstet werden sollen. Die verfügbaren Optionen lauten j und n.
Wählen Sie die Identitätsanwendungen aus und setzen Sie die Aufrüstung fort.
Geben Sie die folgenden Informationen ein:
SSPR-Installationsordner: Geben Sie den SSPR-Installationsordner an.
Benutzeranwendungsordner: Geben Sie den Benutzeranwendungsordner an.
One SSO-Dienstpasswort für Identitätsanwendungen: Geben Sie das One SSO-Passwort an.
JDBC-jar-Datei für Identitätsanwendungs-Datenbank: Geben Sie die JAR-Datei für die Datenbank an. Der Standardspeicherort der vorhandenen Datenbank-jar-Datei lautet /opt/netiq/idm/apps/postgres/postgresql-9.4.1212.jar.
Schema für Identitätsanwendungen erstellen: Gibt den Zeitpunkt an, zu dem das Datenbankschema erstellt werden soll. Verfügbare Optionen: Jetzt, Start und Datei.
HINWEIS:Wenn SSPR nicht auf demselben Server wie die Identitätsanwendungen und OSP installiert ist, müssen Sie SSPR separat aufrüsten.
Laden Sie die Datei Identity_Manager_4.7_Linux.iso gemäß den Anweisungen unter Abschnitt 5.11, Herunterladen der Installationsdateien herunter.
Hängen Sie die heruntergeladene .iso-Datei ein.
Navigieren Sie im Stammverzeichnis der .iso-Datei zum Verzeichnis SSPR.
Führen Sie den folgenden Befehl aus:
./install.sh
Lesen Sie die Lizenzvereinbarung.
Akzeptieren Sie die Lizenzvereinbarung mit j.
Prüfen Sie, ob der Parameter RBPM-zu-eDirectory-SAML-Konfiguration im configupdate-Dienstprogramm auf Auto eingestellt ist.
Starten Sie das Dienstprogramm configupdate.
Navigieren Sie zu SSO-Clients > RBPM und legen Sie unter RBPM-zu-eDirectory-SAML-Konfiguration die Option Auto fest.
Speichern Sie die Änderungen.
Starten Sie Tomcat.
Ändern Sie die Berechtigung und das Eigentum für das OSP-Verzeichnis:
chmod +x novlua:novlua /opt/netiq/idm/apps/osp
Löschen Sie die bisherige Version des Tomcat- und des ActiveMQ-Diensts manuell.
/etc/init.d/idmapps_tomcat_init
/etc/init.d/idmapps_activemq_init
Sie müssen außerdem die benutzerdefinierten Einstellungen für Tomcat, SSPR, OSP oder die Identitätsanwendungen manuell wiederherstellen.
Prüfen Sie, ob der aufgerüstete JRE-Speicherort (jre/lib/security/cacerts) alle Zertifikate aus dem bisherigen JRE-Speicherort enthält. Falls ein Zertifikat fehlt, importieren Sie dieses Zertifikat manuell in die cacerts der aufgerüsteten JRE.
Importieren Sie java cacerts mit dem Befehl keytool:
keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts
HINWEIS:Nach der Aufrüstung ist JRE im Installationsverzeichnis der Identitätsanwendungen gespeichert. Beispiel: /opt/netiq/idm/apps/jre.
Prüfen Sie den JRE-Speicherort.
tomcat/bin/setenv.sh
Starten Sie das Konfigurationsaktualisierungsprogramm und prüfen Sie den Pfad der cacerts.
(Bedingt) Möchten Sie benutzerdefinierte Dateien aus der zuvor im Rahmen der Aufrüstung erstellten Sicherung wiederherstellen, gehen Sie wie folgt vor:
Stellen Sie die benutzerdefinierten https-Zertifikate wieder her. Kopieren Sie zur Wiederherstellung der Zertifikate den Inhalt der Java Secure Socket Extension (JSSE) aus der gesicherten server.xml-Datei zur neuen server.xml -Datei im Verzeichnis /tomcat/conf.
Kopieren Sie nicht die Konfigurationsdateien vom gesicherten Tomcat-Verzeichnis in das neue Tomcat-Verzeichnis. Starten Sie mit der Standardkonfiguration der neuen Version und nehmen Sie die erforderlichen Änderungen vor. Weitere Informationen finden Sie auf der Apache-Website.
Stellen Sie sicher, dass die neue Datei server.xml folgende Einträge aufweist:
<Connector port="8543" protocol="HTTP/1.1"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="path_to_keystore_file"
keystorePass="keystore_password" />
<!--
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
-->
Alternativ:
<Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="path_to_keystore_file"
keystorePass="keystore_password" />
<!--
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
-->
HINWEIS:In einer Cluster-Umgebung kommentieren Sie das Tag Cluster in server.xml manuell aus und kopieren osp.jks auf alle Knoten vom ersten Knoten unter /opt/netiq/idm/apps/osp_backup_<Datum>.
Wenn Ihnen benutzerdefinierte Keystore-Dateien vorliegen, fügen Sie den korrekten Pfad der neuen server.xml-Datei hinzu.
Importieren Sie die Zertifikate der Identitätsanwendungen in das Identitätsdepot unter /opt/novell/eDirectory/lib64/nds-modules/jre/lib/security/cacerts.
Sie können die Zertifikate beispielsweise mit dem folgenden „keytool“-Befehl in das Identitätsdepot importieren:
keytool -importkeystore -alias <keyalias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore /opt/novell/eDirectory/lib64/nds-modules/jre/lib/security/cacerts -deststorepass changeit
(Bedingt) Navigieren Sie zur Benutzeranwendung und stellen Sie die benutzerdefinierten Einstellungen manuell wieder her. Lesen Sie hierzu die gesicherte Konfiguration wieder ein.
Stellen Sie die benutzerdefinierten Konfigurationen der Identitätsanwendungen anhand der Sicherung wieder her, die im Rahmen des Aufrüstungsvorgangs erstellt wurde.
Wenn Sie den benutzerdefinierten Kontextordner vor dem Ausführen des Aufrüstungsprogramms in IDMProv umbenannt haben, stellen Sie den ursprünglichen Kontextnamen mit dem Dienstprogramm configupdate wieder her. Der ursprüngliche benutzerdefinierte Kontextname lautet beispielsweise IDMDev und wurde in IDMProv umbenannt.
Stellen Sie den ursprünglichen Kontextnamen mit den folgenden Schritten wieder her:
Navigieren Sie zum Benutzeranwendungsverzeichnis unter /opt/netiq/idm/apps/UserApplication.
(Optional) Möchten Sie das configupdate-Dienstprogramm über die Benutzeroberfläche starten, stellen Sie sicher, dass die Option use_console in der Datei configupdate.sh.properties auf false festgelegt wurde.
Dieser Schritt ist erforderlich, da das Aufrüstdienstprogramm den Wert dieser Option in true ändert.
Alternativ starten Sie das configupdate-Dienstprogramm und übergeben Sie ein zusätzliches Befehlszeilenargument unter Linux.
./configupdate.sh use_console=false
Starten Sie das Dienstprogramm configupdate.
configupdate.sh
Klicken Sie auf der Registerkarte Benutzeranwendung auf Erweiterte Optionen anzeigen und führen Sie die folgenden Schritte aus:
Aktivieren Sie das Kontrollkästchen Namen des RBPM-Kontexts ändern.
Geben Sie den ursprünglichen RBPM-Kontextnamen ein.
Wählen Sie den zugehörigen Rollentreiber-DN aus, und klicken Sie auf OK.
Ändern Sie die Berechtigung und das Eigentum für die WAR-Datei mit dem folgenden Befehl.
chmod 755 <Original_Context_Name>.war; chown -R novlua:novlua <Original_Context_Name>.war
Der ursprüngliche benutzerdefinierte Kontextname lautet beispielsweise IDMDev:
chmod 755 IDMDev.war; chown -R novlua:novlua IDMDev.war
(Bedingt) Sobald Sie alle Aufgaben nach der Aufrüstung beendet haben, starten Sie den Tomcat-Dienst für die Identitätsanwendungen.
Wenn OSP und die Benutzeranwendung auf verschiedenen Servern installiert sind, aktualisieren Sie den SSO-Client-Parameter mit dem Konfigurationsaktualisierungsprogramm. Weitere Informationen hierzu finden Sie in IDM-Dashboard in Abschnitt 11.6.5, Parameter für SSO-Clients.
Standardmäßig ist der Eintrag LogHost in der Datei /etc/logevent.conf auf localhost eingestellt.
Zum Bearbeiten des Eintrags LogHost stellen Sie die benutzerdefinierten OSP-Konfigurationen manuell anhand der Sicherung wieder her, die im Rahmen des Aufrüstungsvorgangs erstellt wurde.
Das Aufrüstungsprogramm erstellt einen neuen Tomcat-Ordner auf dem Computer. Falls sich Kerberos-Dateien (z. B. keytab und Kerberos_login.config) im bisherigen Tomcat-Ordner befinden, kopieren Sie diese Dateien aus dem gesicherten Ordner in den neuen Tomcat-Ordner.