10.3 Konfigurieren des Remote Loader und der Treiber

Der Remote Loader kann die in den .dll-, .so- oder .jar-Dateien enthaltenen Identity Manager-Anwendungsschnittstellenmodule hosten. Der Java Remote Loader hostet nur Java-Treiberschnittstellenmodule. Das Laden oder Hosten nativer (C++-)Treiberschnittstellenmodule ist nicht möglich.

Vor Verwendung des Remote Loader müssen Sie das Anwendungsschnittstellenmodul so konfigurieren, dass eine sichere Verbindung zur Identity Manager-Engine hergestellt wird. Außerdem müssen sowohl der Remote Loader als auch die Identity Manager-Treiber konfiguriert werden. Weitere Informationen zu Schnittstellenmodulen finden Sie in Erläuterungen zu Schnittstellenmodulen.

10.3.1 Herstellen einer sicheren Verbindung zur Identity Manager-Engine

Die Datenübertragung zwischen dem Remote Loader und der Identity Manager-Engine muss in jedem Fall geschützt sein. NetIQ empfiehlt die Kommunikation über die TLS/SSL-Protokolle (Transport Layer Security/Secure Socket Layer). Damit TLS/SSL-Verbindungen unterstützt werden, muss ein geeignetes eigensigniertes Zertifikat in einer Keystore-Datei oder KMO vorliegen. In diesem Abschnitt wird beschrieben, wie Sie dieses Zertifikat erstellen, exportieren und speichern.

HINWEIS:Verwenden Sie dieselbe SSL-Version auf den Servern, auf denen die Identity Manager-Engine gehostet werden, und für den Remote Loader. Wenn die SSL-Version auf dem Server nicht mit der SSL-Version des Remote Loader übereinstimmt, gibt der Server die Fehlermeldung SSL3_GET_RECORD:Falsche Versionsnummer zurück. Diese Meldung ist lediglich ein Warnhinweis; die Kommunikation zwischen dem Server und dem Remote Loader wird nicht unterbrochen. Der Fehler kann jedoch zu Verwirrungen führen.

Erläuterungen zum Kommunikationsvorgang

Der Remote Loader öffnet ein Client-Socket und überwacht die vom Remote-Schnittstellenmodul kommenden Verbindungen. Zum Einrichten eines sicheren Kanals führen das Remote-Schnittstellenmodul und der Remote Loader einen SSL-Handshake aus. Anschließend authentifiziert sich das Remote-Schnittstellenmodul beim Remote Loader. Wenn die Authentifizierung des Remote-Schnittstellenmoduls erfolgreich ausgeführt wurde, authentifiziert sich der Remote Loader beim Remote-Schnittstellenmodul. Nur wenn beide Seiten übereinkommen, dass sie mit einer autorisierten Entität kommunizieren, findet der Synchronisierungsverkehr statt.

Die Abläufe beim Einrichten einer SSL-Verbindung zwischen einem Treiber und der Identity Manager-Engine sind abhängig vom Treibertyp:

HINWEIS:Der Remote Loader ermöglicht benutzerdefinierte Verbindungsmethoden zwischen dem Remote Loader und dem Remote-Schnittstellenmodul, das auf dem Identity Manager-Server gehostet wird. Weitere Informationen zu den Elementen, die beim Konfigurieren eines benutzerdefinierten Verbindungsmoduls in der Verbindungszeichenkette erwartet werden und zulässig sind, finden Sie in der Dokumentation des Moduls.

Verwalten von eigensignierten Serverzertifikaten

Um die sichere Kommunikation zwischen dem Remote Loader und der Identity Manager-Engine zu gewährleisten, können Sie ein eigensigniertes Serverzertifikat erstellen und exportieren. Für zusätzliche Sicherheit wird für die SSL-Kommunikation eine stärkere Verschlüsselung konfiguriert wie durch Suite B angegeben. Für diese Kommunikation müssen ECDSA(Elliptic Curve Digital Signature Algorithm)-Zertifikate zur Verschlüsselung der Daten verwendet werden. Wenn Suite B aktiviert ist, verwendet der Remote Loader TLS 1.2 als Kommunikationsprotokoll. Weitere Informationen zu Suite B finden Sie unter Suite B-Verschlüsselungsverfahren.

Sie haben die Möglichkeit, ein neu erstelltes Zertifikat zu exportieren oder ein bestehendes Zertifikat zu verwenden.

HINWEIS:Wenn ein Server mit einer Baumstruktur verknüpft wird, erstellt eDirectory die folgenden Standardzertifikate:

  • SSL CertificateIP

  • SSL CertificateDNS

  • Mit Suite B kompatible Zertifikate

  1. Melden Sie sich bei NetIQ iManager an.

  2. Erstellen Sie ein neues Zertifikat mit den folgenden Schritten:

    1. Klicken Sie auf NetIQ Certificate Server > Create Server Certificate (Serverzertifikat erstellen).

    2. Wählen Sie den Server aus, der als Eigentümer des Zertifikats fungieren soll.

    3. Geben Sie einen Kurznamen für das Zertifikat ein. Beispiel: remotecert.

      HINWEIS:NetIQ empfiehlt, auf Leerzeichen in den Kurznamen der Zertifikate zu verzichten. Verwenden Sie beispielsweise remotecert statt remote cert.

      Notieren Sie sich außerdem den Kurznamen des Zertifikats. Der Kurzname wird als KMO-Name in den Remote-Verbindungsparametern des Treibers herangezogen.

    4. Wählen Sie die Zertifikatserstellungsmethode aus, und klicken Sie anschließend auf Weiter.

      Die folgenden Optionen stehen Ihnen zur Verfügung:

      • Standard: Mit dieser Option wird ein Serverzertifikatsobjekt mit der größtmöglichen Schlüsselgröße erstellt und das öffentliche Schlüsselzertifikat mit der Zertifizierungsstelle Ihrer Organisation wird signiert.

      • Benutzerdefiniert: Bei dieser Option wird ein Serverzertifikatsobjekt mit den von Ihnen angegebenen Einstellungen erstellt. Legen Sie damit eine Reihe von benutzerdefinierten Einstellungen für das Serverzertifikatsobjekt fest. Wählen Sie diese Option zur Erstellung von ECDSA-Zertifikaten für die Suite B-Kommunikation aus.

      • Importieren: Diese Option erstellt ein Serverzertifikatsobjekt mithilfe der Schlüssel und Zertifikate aus einer PKCS12(PFX)-Datei. Sie können diese Option zusammen mit der Exportfunktion zur Sicherung und Wiederherstellung eines Serverzertifikats oder zum Verschieben eines Serverzertifikatsobjekts von einem Server auf einen anderen verwenden.

    5. Geben Sie die Zertifikatsparameter an.

    6. Übernehmen Sie die restlichen Standardeinstellungen für das Zertifikat.

    7. Überprüfen Sie die Zusammenfassung, klicken Sie auf Fertig stellen und anschließend auf Schließen.

  3. Exportieren Sie das Zertifikat mit den folgenden Schritten:

    1. Navigieren Sie in iManager zu Rollen und Aufgaben > Zugriff auf NetIQ-Zertifikate > Serverzertifikate.

    2. Suchen und wählen Sie das erstellte Zertifikat oder das vom Server erstellte Zertifikat (z. B. SSL CertificateDNS).

    3. Klicken Sie auf Exportieren.

    4. Wählen Sie im Dropdown-Menü Zertifikat der Zertifizierungsstelle als OU=Unternehmen CA.O=TREEANAME aus.

    5. Wählen Sie im Dropdown-Menü das Exportformat als BASE64 aus.

      HINWEIS:Wenn der Remote Loader auf einem Server mit Windows 2012 R2 64 ( Bit) ausgeführt wird, muss das Zertifikat im Base64-Format vorliegen. Wenn Sie das DER-Format verwenden, kann der Remote Loader keine Verbindung zur Identity Manager-Engine herstellen.

    6. Klicken Sie auf Weiter.

    7. Klicken Sie auf Speichern und anschließend auf Schließen.

Erstellen einer Keystore-Datei für SSL-Verbindungen

Zum Herstellen von SSL-Verbindungen zwischen einem Java-Treiber und der Identity Manager-Engine muss ein Keystore erstellt werden. Ein Keystore ist eine Java-Datei, die Verschlüsselungsschlüssel und Zertifikate (optional) enthält. Wenn Sie SSL für die Kommunikation des Remote Loader mit der Identity Manager-Engine verwenden möchten und mit einem Java-Schnittstellenmodul arbeiten, müssen Sie eine Keystore-Datei erstellen. In den folgenden Abschnitten wird erläutert, wie Sie eine Keystore-Datei erstellen:

Erstellen eines Keystore auf einer beliebigen Plattform

Wenn Sie einen Keystore auf einer belieben Plattform erstellen möchten, geben Sie in der Befehlszeile Folgendes ein:

keytool -import -alias trustedroot -file Name_des_eigensignierten_Zertifikats -keystore Dateiname -storepass keystorepass

Sie können einen beliebigen Dateinamen angeben. Beispiel: rdev_keystore.

Erstellen eines Keystore

Führen Sie das Keytool-Dienstprogramm aus (standardmäßig unter c:\novell\remoteloader\jre\bin).

10.3.2 Erläuterungen zu den Kommunikationsparametern für den Remote Loader

Damit der Remote Loader eine Treiberinstanz nutzen kann, in der ein Identity Manager-Anwendungsschnittstellenmodul gehostet wird, müssen Sie die Treiberinstanz konfigurieren. Beispielsweise müssen Sie die Verbindungs- und die Porteinstellungen für die Instanz angeben. Für das Festlegen der Einstellungen können Sie die Befehlszeile oder die Remote Loader-Konsole verwenden. Sobald die Instanz läuft, können Sie über die Befehlszeile die Konfigurationsparameter ändern oder den Remote Loader anweisen, eine Funktion auszuführen. So können Sie beispielsweise das Trace-Fenster öffnen oder den Remote Loader entladen.

In diesem Abschnitt finden Sie Informationen zu den Konfigurationsparametern. Hierbei ist ersichtlich, ob ein Parameter über die Befehlszeile gesendet werden kann, während der Remote Loader ausgeführt wird.

Weitere Informationen zum Konfigurieren einer neuen Treiberinstanz finden Sie in Abschnitt 10.3.3, Konfigurieren des Remote Loader für Treiberinstanzen.

Konfigurationsparameter für die Treiberinstanzen im Remote Loader

Die Treiberinstanzen können über die Befehlszeile oder mithilfe einer Konfigurationsdatei konfiguriert werden. Die Beispieldatei config8000.txt von NetIQ hilft Ihnen dabei, den Remote Loader und die Treiber für das Anwendungsschnittstellenmodul zu konfigurieren. Die Beispieldatei findet sich standardmäßig unter C:\novell\remoteloader\<architecture(64bit/32bit>\ oder C:\Novell\remoteloader.NET. Die Konfigurationsdatei kann beispielsweise die folgenden Zeilen enthalten:

-commandport 8000
-connection "port=8090"
-trace 4
-tracefile ./trace8000.log
-class com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver

Die folgenden Parameter stehen zur Verfügung:

-assembly

(Bedingt) Bei Verwendung eines .NET Remote Loader wird hier der Pfad angegeben, unter dem die .dll-Datei abgelegt ist. Stellen Sie sicher, dass die Konfigurationsdatei diesen Parameter enthält. Beispiel:

-assembly C:\Novell\remoteloader.NET\DXMLMADDriver.dll
-description Wert (-desc Wert)

(Optional) Gibt eine kurze Beschreibung in Form einer Zeichenkette (z. B. SAP) an, die die Anwendung als Titel für das Trace-Fenster und für die Protokollierung heranzieht. Beispiel:

-description SAP
-desc SAP
-class Name (-cl Name)

(Bedingt) Bei Verwendung eines Java-Treibers geben Sie den Java-Klassennamen für das zu hostende Identity Manager-Anwendungsschnittstellenmodul an. Diese Option weist die Anwendung an, die Zertifikate aus einem Java-Keystore auszulesen. Beispiel:

-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim -cl com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

HINWEIS:

  • Diese Option ist nicht zulässig, wenn Sie die Option -module angeben.

  • Wenn Sie das Tab-Zeichen als Begrenzungszeichen in der Option -class verwenden, wird der Remote Loader nicht automatisch gestartet. Stattdessen muss er manuell gestartet werden. Damit der Remote Loader ordnungsgemäß gestartet wird, ersetzen Sie das Tab-Zeichen durch ein Leerzeichen.

  • Weitere Informationen zu den zulässigen Namen bei dieser Option finden Sie unter Erläuterungen zu den Namen für den Java-Parameter -class.

-commandport Port-Nummer (-cp Port-Nummer)

Gibt den TCP/IP-Port an, der von der Treiberinstanz zu Steuerungszwecken verwendet wird. Beispiel: -commandport 8001 oder -cp 8001. Der Standardwert ist 8000.

Sollen mehrere Treiberinstanzen mit dem Remote Loader auf einem einzigen Server verwendet werden, geben Sie für jede Instanz jeweils unterschiedliche Verbindungs- und Befehlsports an.

Wenn die Treiberinstanz ein Anwendungsschnittstellenmodul hostet, ist der Befehlsport der Port, über den eine andere Remote Loader-Instanz mit der Instanz kommuniziert, die das Schnittstellenmodul hostet. Wenn die Treiberinstanz einen Befehl an eine Instanz sendet, die ein Anwendungsschnittstellenmodul hostet, ist der Befehlsport der Port, der von der Host-Instanz überwacht wird.

Wenn Sie diesen Parameter über die Befehlszeile an eine Instanz senden, die ein Anwendungsschnittstellenmodul hostet, ist der Befehlsport der Port, der von der Host-Instanz überwacht wird. Sie können diesen Befehl senden, während der Remote Loader läuft.

-config Dateiname

Gibt eine Konfigurationsdatei für die Treiberinstanz an. Beispiel:

-config config.txt

Die Konfigurationsdatei kann bis auf -config beliebige Befehlszeilenoptionen enthalten. Die an der Befehlszeile angegebenen Optionen haben Vorrang vor den in der Konfigurationsdatei angegebenen Optionen.

Sie können diesen Befehl senden, während der Remote Loader läuft.

-connection „Parameter“ (-conn „Parameter“)

Gibt die Einstellungen zum Herstellen einer Verbindung zum Server an, auf dem die Identity Manager-Engine gehostet wird, die wiederum das Identity Manager-Remote-Schnittstellenmodul ausführt. Die Standardverbindungsmethode ist TCP/IP mit SSL.

Sollen mehrere Treiberinstanzen mit dem Remote Loader auf einem einzigen Server verwendet werden, geben Sie für jede Instanz jeweils unterschiedliche Verbindungs- und Befehlsports an.

Geben Sie die Verbindungseinstellungen mit der folgenden Syntax ein:

-connection "parameter parameter parameter"

Beispiel:

-connection "port=8091 fromaddress=198.51.100.0 rootfile=server1.pem keystore=ca.pem localaddress=198.51.100.0 hostname=198.51.100.0 kmo=remote driver cert"

Legen Sie die Einstellungen für eine TCP/IP-Verbindung mit den folgenden Parametern fest:

address=IP_Adresse

(Optional) Gibt an, ob der Remote Loader eine bestimmte lokale IP-Adresse überwacht. Dies ist hilfreich, wenn der Server, der den Remote Loader hostet, mehrere IP-Adressen hat und der Remote Loader nur eine dieser Adressen überwachen soll. Die folgenden Werte sind zulässig:

  • address=Adressnummer

  • address='localhost'

Beispiel: 

address=198.51.100.0

Wenn Sie keinen Wert angeben, überwacht der Remote Loader alle lokalen IP-Adressen.

fromaddress=IP_Adresse

Gibt den Server an, von dem der Remote Loader Verbindungen akzeptiert. Verbindungen von anderen Adressen werden durch die Anwendung ignoriert. Geben Sie eine IP-Adresse oder den DNS-Namen des Servers an. Beispiel:

fromaddress=198.51.100.0
fromaddress=testserver1.company.com
handshaketimeout=Millisekunden

(Bedingt) Gilt, wenn eine Zeitüberschreitung beim Handshake im Zusammenhang mit anderweitig gültigen Verbindungen von der Identity Manager-Engine eintritt. Bestimmt den Zeitraum für die Zeitüberschreitung (in Millisekunden) beim Handshake zwischen dem Remote Loader und der Identity Manager-Engine. Beispiel: 

handshaketimeout=1000

Sie können eine Ganzzahl größer oder gleich null angeben. Der Wert null bedeutet, dass niemals eine Zeitüberschreitung für die Verbindung eintritt. Der Standardwert ist 1.000 Millisekunden.

hostname=Server

Gibt die IP-Adresse oder den Namen des Servers an, auf dem der Remote Loader ausgeführt wird. Beispiel:

hostname=198.51.100.0
secureprotocol=TLS-Version

Gibt die Version des TLS-Protokolls an, das der Remote Loader verwendet, um eine Verbindung zur Identity Manager-Engine herzustellen. Beispiel:

secureprotocol=TLSv1_2

Identity Manager unterstützt TLSv1 und TLSv1_2. Der Remote Loader verwendet standardmäßig TLSv1_2. Geben Sie zur Verwendung von TLSv1 diese Version im Parameter an.

enforceSuiteB=true/false

(Bedingt) Trifft nur zu, wenn der Remote Loader mithilfe des Suite B-Verschlüsselungsalgorithmus mit der Identity Manager-Engine kommunizieren soll.

Geben Sie zur Verwendung von Suite B für die Kommunikation true an. Diese Kommunikation wird nur unter dem TLS 1.2-Protokoll unterstützt.

Wenn Sie versuchen, eine Suite B-aktivierte Engine mit einem Remote Loader zu verbinden, der TLSv1.2 nicht unterstützt, wird der Handshake nicht ausgeführt und die Kommunikation wird nicht aufgebaut. Beispiel: Remote Loader 4.5.3, der TLS v1.2 nicht unterstützt.

useMutualAuth=true/false

(Bedingt) Trifft nur zu, wenn sich der Remote Loader und die Identity Manager-Engine gegenseitig authentifizieren sollen, indem sie das Zertifikat mit öffentlichem Schlüssel oder das digitale Zertifikat von der verbürgten Zertifizierungsstelle oder die eigensignierten Zertifikate überprüfen. Beispiel:

useMutualAuth=true
keystore=Dateiname

Gibt den Dateinamen des Java-Keystores an, der das Herkunftsverbürgungszertifikat des Herausgebers des Zertifikats enthält, das vom Remote-Schnittstellenmodul verwendet wird. Beispiel:

keystore=keystore filename

In der Regel geben Sie die Zertifizierungsstelle des Baums an, der das Remote-Schnittstellenmodul hostet.

kmo=Name

Gibt den Schlüsselnamen des Schlüsselmaterialobjekts (KMO) ein, das die für SSL-Verbindungen verwendeten Schlüssel und Zertifikate enthält. Beispiel:

kmo=remote driver cert
localaddress=IP_Adresse

Gibt die IP-Adresse an, an die der Socket für die Clientverbindung gebunden werden soll. Beispiel:

localaddress=198.51.100.0
port=Port-Nummer

Gibt den TCP/IP-Port an, den der Remote Loader auf Verbindungen vom Remote-Schnittstellenmodul überwacht. Mit port=8090 legen Sie den Standardport fest.

rootfile=Dateiname_Herkunftsverbürgungszertifikat

Gibt den Namen der Datei an, die das Herkunftsverbürgungszertifikat des Herausgebers des Zertifikats für das Remote-Schnittstellenmodul enthält. Die Zertifikatsdatei muss im Base-64-Format (PEM) vorliegen. Beispiel:

rootfile=trustedcert

In der Regel ist die Datei die Zertifizierungsstelle des Baums, der das Remote-Schnittstellenmodul hostet.

storepass=Passwort

Gibt das Passwort für den Java-Keystore an, den Sie im Parameter keystore festgelegt haben. Beispiel:

storepass=mypassword

Geben Sie für die Kommunikation zwischen dem Remote Loader und dem Java-Treiber ein Schlüsselwertpaar mit der folgenden Syntax an: 

keystore=keystorename storepass=password
-datadir Verzeichnis (-dd Verzeichnis)

Gibt das Verzeichnis für die Datendateien an, die von Remote Loader verwendet werden. Beispiel:

-datadir C:\novell\remoteloader

Mit diesem Befehl übernimmt der Remote Loader das angegebene Verzeichnis als aktuelles Verzeichnis. In diesem Datenverzeichnis werden Trace-Dateien und andere Dateien, für die kein expliziter Pfad angegeben ist, erstellt.

-help (-h)

Weist die Anwendung an, die Hilfe anzuzeigen.

-java (-j)

(Bedingt) Gibt an, dass Sie Passwörter für ein Java-Treiberschnittstellenmodul festlegen möchten.

HINWEIS:Verwenden Sie diese Option zusammen mit der Option -setpasswords, wenn Sie nicht auch einen Wert für -class angeben.

-javadebugport Port-Nummer (-jdp Port-Nummer)

Weist die Instanz an, das Java-Debugging auf dem angegebenen Port zu aktivieren. Beispiel:

-javadebugport 8080

Nutzen Sie diesen Befehl beim Entwickeln von Identity Manager-Anwendungsschnittstellenmodulen. Sie können diesen Befehl senden, während der Remote Loader läuft.

-javaparam Parameter (-jp Parameter)

Gibt die Parameter für die Java-Umgebung an. Geben Sie die Java-Umgebungsparameter mit der folgenden Syntax ein:

-javaparam parameter
-jp parameter
-jp parameter

HINWEIS:Verwenden Sie diesen Parameter nicht mit dem Java Remote Loader.

Sollen mehrere Werte für einen einzelnen Parameter angegeben werden, schließen Sie die Parameter in Anführungszeichen ein. Beispiel:

-javaparam DHOST_JVM_MAX_HEAP=512M
-jp DHOST_JVM_MAX_HEAP=512M
-jp "DHOST_JVM_OPTIONS=-Dfile.encoding=utf-8 -Duser.language=en"

Mit den folgenden Parametern richten Sie die Java-Umgebung ein:

DHOST_JVM_ADD_CLASSPATH

Gibt weitere Pfade an, in denen die JVM nach Paket- (.jar) und Klassendateien (.class) suchen soll.

DHOST_JVM_INITIAL_HEAP

Gibt die anfängliche (minimale) JVM-Heap-Größe in Dezimalschreibweise in Byte an. Geben Sie einen numerischen Wert gefolgt von „G“, „M“ oder „K“ für den Byte-Typ ein. Beispiel:

100M

Wenn Sie keinen Byte-Typ angeben, wird die Größe standardmäßig in Byte dargestellt. Dieser Parameter entspricht dem Java-Befehl -Xms.

Dieser Parameter hat Vorrang vor der Option zum Festlegen der Attribute im Treiber. Durch das Erhöhen der Ausgangs-Heap-Größe können die Startzeit und die Durchsatzleistung verbessert werden.

DHOST_JVM_MAX_HEAP

Gibt die maximale JVM-Heap-Größe in Dezimalschreibweise in Byte an. Geben Sie einen numerischen Wert gefolgt von „G“, „M“ oder „K“ für den Byte-Typ ein. Beispiel: 

100M

Wenn Sie keinen Byte-Typ angeben, wird die Größe standardmäßig in Byte dargestellt.

Dieser Parameter hat Vorrang vor der Option zum Festlegen der Attribute im Treiber.

DHOST_JVM_OPTIONS

Gibt die Argumente an, die beim Starten der JVM-Instanz des Treibers verwendet werden sollen. Trennen Sie die Optionszeichenfolgen jeweils mit Leerzeichen voneinander ab. Beispiel: 

-Xnoagent -Xdebug -Xrunjdwp: transport=dt_socket,server=y, address=8000

Die Option zum Festlegen der Attribute im Treiber hat Vorrang vor diesem Parameter. Diese Umgebungsvariable wird an das Ende der Option zum Festlegen der Attribute im Treiber angehängt. Weitere Informationen zu gültigen Optionen finden Sie in der JVM-Dokumentation.

-module „Name“ (-m „Name“)

(Bedingt) Gibt bei Verwendung eines nativen Treibers das Modul an, in dem sich das zu hostende Identity Manager-Anwendungsschnittstellenmodul befindet. Diese Option weist die Anwendung an, ein Rootfile-Zertifikat zu verwenden. Bei einem nativen Treiber können Sie beispielsweise eine der folgenden Optionen angeben:

-module "c:\Novell\RemoteLoader\ADDriver.dll"
-m "c:\Novell\RemoteLoader\ADDriver.dll"

HINWEIS:

  • Diese Option ist nicht zulässig, wenn Sie die Option -class angeben.

  • Wenn Sie das Tab-Zeichen als Begrenzungszeichen in der Option -module verwenden, wird der Remote Loader nicht automatisch gestartet. Stattdessen muss er manuell gestartet werden. Damit der Remote Loader ordnungsgemäß gestartet wird, ersetzen Sie das Tab-Zeichen durch ein Leerzeichen.

-password Wert (-p Wert)

Gibt das Passwort für die Treiberinstanz an, wenn Sie Befehle eingeben, die die Einstellungen ändern oder sich auf die Funktionsweise der Instanz auswirken. Sie müssen dasselbe Passwort als erstes Passwort mit „setpasswords“ für die Instanz festlegen, für das die Befehle eingegeben werden sollen. Beispiel:

-password netiq4

Wenn Sie das Passwort beim Eingeben der Befehle nicht mitsenden, werden Sie durch die Instanz dazu aufgefordert, das Passwort einzugeben.

Sie können diesen Befehl senden, während der Remote Loader läuft.

-service Wert (-serv Wert)

Gibt an, ob eine Instanz als Win32-Dienst konfiguriert werden soll. Zulässige Werte sind install und uninstall sowie die anderen Parameter, die zum Hosten eines Anwendungsschnittstellenmoduls erforderlich sind. Sie müssen beispielsweise den Parameter -module verwenden, während der Parameter -commandport und die Verbindungseinstellungen bei Bedarf angegeben werden können.

Mit diesem Befehl wird die Instanz lediglich als Dienst installiert oder deinstalliert. Der Dienst wird nicht gestartet.

Sie können diesen Befehl senden, während der Remote Loader läuft. Bei rdxml und dem Java Remote Loader ist dieser Befehl allerdings nicht zulässig.

-setpasswords Remote_Loader_Passwort Optionales_Passwort (-sp Remote_Loader_Passwort Optionales_Passwort)

Gibt das Passwort für die Treiberinstanz und das Passwort für das Identity Manager-Treiberobjekt des Remote-Schnittstellenmoduls an, mit dem der Remote Loader kommuniziert.

Sie müssen kein Passwort angeben. In diesem Fall werden Sie vom Remote Loader aufgefordert, die Passwörter einzugeben. Wenn Sie jedoch das Passwort für den Remote Loader angeben, müssen Sie auch das Passwort für das Identity Manager-Treiberobjekt nennen, das mit dem Remote-Schnittstellenmodul auf dem Server der Identity Manager-Engine verbunden ist. Geben Sie die Passwörter mit der folgenden Syntax an:

-setpasswords Remote_Loader_password driver_object_password

Beispiel:

-setpasswords netiq4 idmobject6

HINWEIS:Mithilfe dieser Option wird die Treiberinstanz mit den angegebenen Passwörtern konfiguriert. Es wird jedoch weder ein Identity Manager-Anwendungsschnittstellenmodul geladen noch mit anderen Instanzen kommuniziert.

Einstellungen für die Trace-Datei

(Bedingt) Gibt beim Hosten eines Identity Manager-Anwendungsschnittstellenmoduls die Einstellungen für eine Trace-Datei an, in der sich Informationsmeldungen vom Remote Loader und vom Treiber für diese Instanz befinden.

Fügen Sie der Konfigurationsdatei die folgenden Parameter hinzu:

-trace Ganzzahl (-t Ganzzahl)

Gibt die Stufen der Meldungen an, die in einem Trace-Fenster angezeigt werden sollen. Beispiel:

-trace 3

Die Trace-Stufen für den Remote Loader sind mit den Stufen identisch, die auf dem Server verwendet werden, auf dem die Identity Manager-Engine gehostet wird.

-tracefile Dateipfad (-tf Dateipfad)

Gibt den Pfad zu einer Datei an, in der die Trace-Meldungen protokolliert werden sollen. Für jede Treiberinstanz auf einem Computer müssen Sie eine eindeutige Trace-Datei festlegen. Beispiel:

-tracefile c:\temp\trace.txt

Die Anwendung schreibt Meldungen in die Datei, wenn der Parameter -tracegrößer als null ist. Die Meldungen werden auch dann in die Datei geschrieben, wenn das Trace-Fenster nicht geöffnet ist.

-tracefilemax Größe (-tf Größe)

Gibt die maximale Größe der Trace-Datei für diese Instanz an. Legen Sie den Wert in Kilobyte, Megabyte oder Gigabyte fest, und nennen Sie auch die Abkürzung für den Byte-Typ. Beispiel:

  • -tracefilemax 1000K

  • -tf 100M

  • -tf 10G

HINWEIS:

  • Wenn die Trace-Datei beim Starten des Remote Loader größer als das angegebene Maximum ist, dann behält die Trace-Datei diese Größe bei, bis das Rollover über alle 10 Dateien ausgeführt wurde.

  • Wenn Sie diese Option in die Konfigurationsdatei aufnehmen, nutzt die Anwendung den angegebenen Namen für die Trace-Datei, und es werden bis zu 9 „Rollover“-Dateien eingeschlossen. Der Name der Rollover-Dateien wird aus dem Namen der Haupt-Trace-Datei und dem Suffix _n zusammengesetzt, wobei 1 bis 9 gültige Werte für n sind.

-tracechange Ganzzahl (-tc Ganzzahl)

(Bedingt) Wenn bereits eine Treiberinstanz vorhanden ist, die ein Anwendungsschnittstellenmodul hostet: Gibt eine neue Stufe für Informationsmeldungen an. Die Trace-Stufen entsprechen den auf dem Identity Manager-Server verwendeten Trace-Stufen. Beispiel:

-trace 3

Sie können diesen Befehl senden, während der Remote Loader läuft.

-tracefilechange Dateipfad (-tfc Dateipfad)

(Bedingt) Wenn bereits eine Treiberinstanz vorhanden ist, die ein Anwendungsschnittstellenmodul hostet: Weist diese Instanz an, eine Trace-Datei zu verwenden bzw. die bisher genutzte Datei zu schließen und zu dieser neuen Datei zu wechseln. Beispiel:

-tracefilechange \temp\newtrace.txt

Sie können diesen Befehl senden, während der Remote Loader läuft.

Zertifikatpasswort-Einstellungen

(Bedingt) Nur wenn useMutualAuth in der Konfigurationsdatei als wahr festgelegt wurde.

-keystorepassword (-ksp)

Hiermit wird das Keystore-Passwort festgelegt, mit dem ausschließlich die gegenseitige Authentifizierung für Java Remote Loader-Treiber aktiviert wird.

-keypassword (-kp)

Hiermit wird das Schlüsselpasswort festgelegt, mit dem ausschließlich die gegenseitige Authentifizierung für Java und native Remote Loader-Treiber aktiviert wird.

-unload (-u)

Weist die Treiberinstanz an, sich zu entladen. Wenn der Remote Loader als Win32-Dienst ausgeführt wird, wird der Dienst durch diese Option gestoppt.

Sie können diesen Befehl senden, während der Remote Loader läuft.

-window Wert (-w) Wert

Weist die Anwendung an, das Trace-Fenster für eine Treiberinstanz zu aktivieren oder zu deaktivieren. Zulässige Werte sind Ein und Aus. Beispiel:

-window on

Sie können diesen Befehl senden, während der Remote Loader läuft. Beim Java Remote Loader ist dieser Befehl nicht zulässig.

-wizard (-wiz)

Startet den Konfigurationsassistenten des Remote Loader. Mit dem Befehl dirxml_remote.exe (ohne Befehlszeilenparameter) können Sie den Assistenten auch direkt ausführen.

Wenn Sie diesen Befehl ausführen und dabei eine Konfigurationsdatei angeben (Option -config), wird der Assistent mit den Werten aus der Konfigurationsdatei gestartet. Im Assistenten können Sie die Konfiguration ändern, ohne die Konfigurationsdatei direkt bearbeiten zu müssen. Beispiel:

-wizard -config config.txt

Beim Java Remote Loader ist dieser Befehl nicht zulässig.

Erläuterungen zu den Namen für den Java-Parameter -class

Wenn Sie mit dem Parameter eine Treiberinstanz -class für den Remote Loader und den Java Remote Loader konfigurieren, müssen Sie den Java-Klassennamen für das zu hostende Identity Manager-Anwendungsschnittstellenmodul angeben.

Java-Klassenname

Treiber

com.novell.nds.dirxml.driver.dcsshim.DCSShim

Treiber für den Datenerfassungsdienst

com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver

Treiber für Text mit Begrenzungszeichen

be.opns.dirxml.driver.ars.arsremedydrivershim.ARSDriverShim

Treiber für Remedy ARS

com.novell.nds.dirxml.driver.entitlement.EntitlementServiceDriver

Berechtigungs-Service-Treiber

com.novell.gw.dirxml.driver.rest.shim.GWdriverShim

GroupWise 2014-Treiber

com.novell.idm.drivers.idprovider.IDProviderShim

ID-Provider-Treiber

com.novell.nds.dirxml.driver.jdbc.JDBCDriverShim

JDBC-Treiber

com.novell.nds.dirxml.driver.jms.JMSDriverShim

JMS-Treiber

com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

LDAP-Treiber

com.novell.nds.dirxml.driver.loopback.LoopbackDriverShim

Loopback-Treiber

com.novell.nds.dirxml.driver.ebs.user.EBSUserDriver

Treiber für die Oracle-Benutzerverwaltung

com.novell.nds.dirxml.driver.ebs.hr.EBSHRDriver

Oracle HR-Treiber

com.novell.nds.dirxml.driver.ebs.tca.EBSTCADriver

Oracle TCA-Treiber

com.novell.nds.dirxml.driver.msgateway.MSGatewayDriverShim

Treiber „Verwaltetes System – Gateway“

com.novell.nds.dirxml.driver.manualtask.driver.ManualTaskDriver

Treiber für manuelle Aufgaben

com.novell.nds.dirxml.driver.nisdriver.NISDriverShim

NIS-Treiber

com.novell.nds.dirxml.driver.notes.NotesDriverShim

Notes-Treiber

com.novell.nds.dirxml.driver.psoftshim.PSOFTDriverShim

PeopleSoft-Treiber

com.netiq.nds.dirxml.driver.pum.PUMDriverShim

Treiber für Privileged User Management

com.novell.nds.dirxml.driver.salesforce.SFDriverShim

SalesForce-Treiber

com.novell.nds.dirxml.driver.SAPHRShim.SAPDriverShim

SAP HR-Treiber

com.novell.nds.dirxml.driver.sap.portal.SAPPortalShim

SAP Portal-Treiber

com.novell.nds.dirxml.driver.sapumshim.SAPDriverShim

Treiber für die SAP-Benutzerverwaltung

com.novell.nds.dirxml.driver.soap.SOAPDriver

SOAP-Treiber

com.novell.idm.driver.ComposerDriverShim

Benutzeranwendung

com.novell.nds.dirxml.driver.workorder.WorkOrderDriverShim

WorkOrder-Treiber

10.3.3 Konfigurieren des Remote Loader für Treiberinstanzen

Der Remote Loader kann die in den .dll-, .so- oder .jar-Dateien enthaltenen Identity Manager-Anwendungsschnittstellenmodule hosten. Damit der Remote Loader ausgeführt werden kann, benötigt die Anwendung eine Konfigurationsdatei (z. B. LDAPShim.txt). Im Remote Loader-Konsolendienstprogramm (die Konsole) können Sie alle Instanzen der Identity Manager-Treiber verwalten, die auf dem Server ausgeführt werden. Hier können Sie die Instanzen eines Remote Loader starten, anhalten, hinzufügen, entfernen und bearbeiten. Mit dem Installationsprogramm für den Remote Loader wird auch die Konsole installiert.

Beim Aufrüsten erkennt und importiert die Konsole die vorhandenen Treiberinstanzen. Damit ein Treiber automatisch importiert werden kann, müssen Sie die zugehörige Konfigurationsdatei im Remote Loader-Verzeichnis speichern (standardmäßig c:\novell\remoteloader). Anschließend können Sie die Remote-Treiber über die Konsole verwalten.

Über die Befehlszeile oder in der Remote Loader-Konsole können Sie den Remote Loader so konfigurieren, dass ein Treiber erkannt wird. Weitere Informationen zur Verwendung der Befehlszeile finden Sie in Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

Dieser Abschnitt enthält Anweisungen für die folgenden Aufgaben:

Erstellen einer neuen Treiberinstanz im Remote Loader

  1. Öffnen Sie die Remote Loader-Konsole.

    HINWEIS:Wenn Sie während der Installation eine Verknüpfung zur Konsole erstellt haben, klicken Sie auf dem Desktop auf das Symbol Identity Manager Remote Loader-Konsole. Ansonsten führen Sie die Datei rlconsole.exe aus (standardmäßig unter C:\novell\remoteloader\nnbit).

  2. Fügen Sie mit Hinzufügen eine Instanz des Treibers zu diesem Server hinzu.

  3. Geben Sie unter Beschreibung einen kurzen Namen für die Instanz ein.

    Die Konsole nutzt diese Angaben als Standardwert für die Konfigurationsdatei.

  4. Wählen Sie unter Treiber den Namen der Java-Klasse aus.

    HINWEIS:Soll der Active Directory-Treiber verwendet werden, wählen Sie ADDriver.dll. Weitere Informationen zu den Klassennamen für die einzelnen Treiber finden Sie unter Erläuterungen zu den Namen für den Java-Parameter -class.

  5. Geben Sie unter Konfigurationsdatei den Pfad zu der Datei an, in der der Remote Loader die Konfigurationsparameter speichert. Der Standardwert lautet C:\novell\remoteloader\nnbit\Beschreibung-config.txt.

  6. Legen Sie die Passwörter für den Remote Loader und das Treiberobjekt fest.

  7. (Optional) Stellen Sie mit den folgenden Schritten eine TLS/SSL-Verbindung zwischen dem Remote Loader und dem Server der Identity Manager-Engine her:

    1. Wählen Sie SSL-Verbindung verwenden.

      HINWEIS:NetIQ empfiehlt, dieselbe SSL-Version auf dem Server der Identity Manager-Engine und für den Remote Loader zu verwenden. Wenn die SSL-Version auf dem Server nicht mit der SSL-Version des Remote Loader übereinstimmt, gibt der Server die Fehlermeldung „SSL3_GET_RECORD:Falsche Versionsnummer“ zurück. Diese Meldung ist lediglich ein Warnhinweis; die Kommunikation zwischen dem Server und dem Remote Loader wird nicht unterbrochen. Der Fehler kann jedoch zu Verwirrungen führen.

    2. Geben Sie unter Herkunftsverbürgungsdatei (Datei im base64-Format) das exportierte eigensignierte Zertifikat aus der Organisationszertifizierungsstelle des eDirectory-Baums an. Weitere Informationen hierzu finden Sie in Abschnitt 10.3.1, Herstellen einer sicheren Verbindung zur Identity Manager-Engine und Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

  8. (Optional) Konfigurieren Sie die Trace-Datei für den Remote Loader mit den folgenden Schritten:

    HINWEIS:NetIQ empfiehlt, die Trace-Funktion ausschließlich bei der Fehlersuche zu nutzen. Bei aktivierter Trace-Funktion sinkt die Leistung des Remote Loader. Lassen Sie die Trace-Funktion im Produktionsmodus nicht aktiviert.

    1. Geben Sie unter Trace-Stufe einen Wert größer null an. Dieser Wert definiert die Stufe der Informationsmeldungen sowohl vom Remote Loader als auch vom Treiber, die in einem Trace-Fenster angezeigt werden sollen. Die Werte 1 bis 4 sind von der Konsole vordefiniert. Wenn Sie eigene Meldungstypen erstellen möchten, geben Sie einen Wert größer oder gleich 5 ein.

      Die häufigste Einstellung ist die Trace-Stufe 3, bei der Meldungen zur allgemeinen Verarbeitung, zu XML-Dokumenten und zum Remote Loader ausgegeben werden.

    2. Geben Sie unter Trace-Datei den Pfad zu einer Datei an, in der die Trace-Meldungen protokolliert werden sollen. Beispiel: C:\novell\remoteloader\64bit\Test-Delimited-Trace.log.

      Für jede Treiberinstanz auf einem Computer müssen Sie eine eindeutige Trace-Datei festlegen. Trace-Meldungen werden nur dann in die Trace-Datei geschrieben, wenn die Trace-Stufe größer Null ist.

    3. Geben Sie unter Maximaler Festplattenspeicher für alle Trace-Protokolldateien (MB) einen ungefähren Wert für den Speicherplatz an, den die Trace-Datei für diese Instanz maximal belegen darf.

  9. (Optional) Soll der Remote Loader beim Hochfahren des Computers automatisch gestartet werden, wählen Sie Remote Loader-Dienst für diese Treiberinstanz starten.

    HINWEIS:Wenn die SSL-Verbindung aufgrund von handshaketimeout fehlschlägt, während der Remote Loader eine Verbindung zur Identity Manager-Engine aufbaut, müssen Sie die Standardvariable handshaketimeout auf 10000 festlegen und sowohl den Treiber als auch den Remote Loader neu starten.

  10. (Bedingt) Sollen die Parameter für die Java-Konfiguration bearbeitet werden, führen Sie die folgenden Schritte aus:

    1. Wählen Sie Advanced (Erweitert) aus.

    2. Geben Sie unter Klassenpfad die Pfade an, in denen die JVM nach Paket- (.jar) und Klassendateien (.class) suchen soll.

      Dieser Parameter entspricht dem Befehl java -classpath.

    3. Geben Sie unter JVM-Optionen die Optionen an, die beim Starten der JVM-Instanz des Treibers verwendet werden sollen.

    4. Geben Sie die anfängliche und die maximale Heap-Größe (in MB) für die JVM-Instanz an.

    5. Geben Sie für die Suite B-Kommunikation enforceSuiteB=true an. Diese Kommunikation wird nur unter dem TLS 1.2-Protokoll unterstützt.

      Weitere Informationen hierzu finden Sie in Abschnitt 10.3.1, Herstellen einer sicheren Verbindung zur Identity Manager-Engine und Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

    6. Klicken Sie auf OK.

  11. (Optional) Geben Sie die Version des sicheren Protokolls in der Konfigurationsdatei des Remote Loader an, um zuzulassen, dass der Remote Loader das sichere Protokoll verwendet, während er eine Verbindung zur Identity Manager-Engine aufbaut. Beispiel: secureprotocol=TLSv1_2

    Weitere Informationen finden Sie unter Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

    HINWEIS:Überspringen Sie diesen Schritt, wenn Sie die Version des sicheren Protokolls bereits auf dem Treiber konfiguriert haben.

  12. (Optional) Geben Sie enforceSuiteB=true in der Konfigurationsdatei des Remote Loader an, um zuzulassen, dass die Remote Loader-Kommunikation die von Suite B angegebenen Protokolle verwendet. Diese Kommunikation wird nur unter dem TLS 1.2-Protokoll unterstützt.

    Weitere Informationen finden Sie unter Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

    HINWEIS:Überspringen Sie diesen Schritt, wenn Sie bereits die Suite B-Kommunikation auf dem Treiber aktiviert haben.

  13. Klicken Sie auf OK.

Bearbeiten einer vorhandenen Treiberinstanz im Remote Loader

  1. Wählen Sie in der Remote Loader-Konsole die gewünschte Treiberinstanz in der Spalte Beschreibung aus.

  2. Klicken Sie auf Beenden.

  3. Geben Sie das Passwort für den Remote Loader ein, und klicken Sie auf OK.

  4. Klicken Sie auf Bearbeiten.

  5. Bearbeiten Sie die Konfigurationsdaten. Weitere Informationen zu den einzelnen Parametern finden Sie unter Erstellen einer neuen Treiberinstanz im Remote Loader.

  6. Klicken Sie zum Speichern der Änderungen auf OK.

10.3.4 Konfigurieren des Java Remote Loader für Treiberinstanzen

Der Java Remote Loader hostet nur Java-Treiberschnittstellenmodule. Das Laden oder Hosten nativer (C++-)Treiberschnittstellenmodule ist nicht möglich.

  1. Erstellen Sie in einem Texteditor eine neue Datei.

    Die Beispieldatei config8000.txt von NetIQ hilft Ihnen dabei, den Remote Loader und die Treiber für das Anwendungsschnittstellenmodul zu konfigurieren. Die Beispieldatei findet sich standardmäßig unter C:\novell\remoteloader\<architecture(64bit\32bit>\ oder C:\Novell\remoteloader.NET.

  2. Fügen Sie der neuen Konfigurationsdatei die folgenden Parameter hinzu:

    • -description (optional)

    • -class oder -module

      Beispiel: -class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim

    • -commandport

    • Verbindungsparameter:

      • port (obligatorisch)

      • Adresse

      • fromaddress

      • handshaketimeout

      • Rootfile

      • Keystore

      • localaddress

      • Hostname

      • kmo

      • secureprotocol

      • enforceSuiteB

      • useMutualAuth

    • -java (bedingt)

    • -javadebugport

    • -password

    • -service

    • -setpasswords

    • Trace-Dateiparameter (optional):

      • -trace

      • -tracefile

      • -tracefilemax

    HINWEIS:Weitere Informationen zu den Parametern finden Sie in Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

  3. Speichern Sie die neue Konfigurationsdatei.

    Damit der Remote Loader beim Hochfahren des Computers automatisch gestartet wird, speichern Sie die Datei im Verzeichnis \jremote.

  4. Öffnen Sie eine Befehlszeilen-Eingabeaufforderung.

  5. Geben Sie an der Eingabeaufforderung Folgendes ein: -config Dateiname. Hierbei gilt: Dateiname bezeichnet den Namen der neuen Konfigurationsdatei. Beispiel:

    dirxml_jremote -config <configFile> -service

    Startet den Java Remote Loader-Dienst und öffnet ein Trace-Fenster.

  6. (Optional) Soll der Treiberdienst angehalten werden, navigieren Sie zu „Services“ und halten Sie den Dienst an.

10.3.5 Konfigurieren des .NET Remote Loader für Treiberinstanzen

Mit dem Remote Loader kann das Anwendungsschnittstellenmodul des Identity Manager, das in der .dll-Datei enthalten ist, gehostet werden. Damit der Remote Loader ausgeführt werden kann, benötigt die Anwendung eine Konfigurationsdatei (z. B. LDAPShim.txt). Im Remote Loader-Konsolendienstprogramm (die Konsole) können Sie alle Instanzen der Identity Manager-Treiber verwalten, die auf dem Server ausgeführt werden. Hier können Sie die Instanzen eines Remote Loader starten, anhalten, hinzufügen, entfernen und bearbeiten. Mit dem Installationsprogramm für den Remote Loader wird auch die Konsole installiert.

Beim Aufrüsten erkennt und importiert die Konsole die vorhandenen Treiberinstanzen. Damit ein Treiber automatisch importiert werden kann, müssen Sie die zugehörige Konfigurationsdatei im Remote Loader-Verzeichnis speichern (standardmäßig c:\novell\remoteloader). Net. Anschließend können Sie die Remote-Treiber über die Konsole verwalten.

Über die Befehlszeile oder in der Remote Loader-Konsole können Sie den Remote Loader so konfigurieren, dass ein Treiber erkannt wird. Weitere Informationen zur Verwendung der Befehlszeile finden Sie in Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

Dieser Abschnitt enthält Anweisungen für die folgenden Aufgaben:

Erstellen einer neuen Treiberinstanz im .NET Remote Loader

  1. Öffnen Sie die Remote Loader-Konsole.

    HINWEIS:Wenn Sie während der Installation eine Verknüpfung zur Konsole erstellt haben, klicken Sie auf dem Desktop auf das Symbol Identity Manager Remote Loader-Konsole. Ansonsten führen Sie die Datei rlconsole.exe aus (standardmäßig unter C:\novell\remoteloader.net).

  2. Fügen Sie mit Hinzufügen eine Instanz des Treibers zu diesem Server hinzu.

  3. Geben Sie unter Beschreibung einen kurzen Namen für die Instanz ein.

    Die Konsole nutzt diese Angaben als Standardwert für die Konfigurationsdatei.

  4. Wählen Sie als Treiber die entsprechende .dll-Treiberdatei aus.

  5. Geben Sie unter Konfigurationsdatei den Pfad zu der Datei an, in der der Remote Loader die Konfigurationsparameter speichert. Der Standardwert lautet C:\novell\remoteloader.net\\Beschreibung-config.txt.

  6. Legen Sie die Passwörter für den Remote Loader und das Treiberobjekt fest.

  7. (Optional) Stellen Sie mit den folgenden Schritten eine TLS/SSL-Verbindung zwischen dem Remote Loader und dem Server der Identity Manager-Engine her:

    1. Wählen Sie SSL-Verbindung verwenden.

      HINWEIS:NetIQ empfiehlt, dieselbe SSL-Version auf dem Server der Identity Manager-Engine und für den Remote Loader zu verwenden. Wenn die SSL-Version auf dem Server nicht mit der SSL-Version des Remote Loader übereinstimmt, gibt der Server die Fehlermeldung „SSL3_GET_RECORD:Falsche Versionsnummer“ zurück. Diese Meldung ist lediglich ein Warnhinweis; die Kommunikation zwischen dem Server und dem Remote Loader wird nicht unterbrochen. Der Fehler kann jedoch zu Verwirrungen führen.

    2. Geben Sie unter Herkunftsverbürgungsdatei (Datei im base64-Format) das exportierte eigensignierte Zertifikat aus der Organisationszertifizierungsstelle des eDirectory-Baums an. Weitere Informationen hierzu finden Sie in Abschnitt 10.3.1, Herstellen einer sicheren Verbindung zur Identity Manager-Engine und Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

  8. (Optional) Konfigurieren Sie die Trace-Datei für den Remote Loader mit den folgenden Schritten:

    HINWEIS:NetIQ empfiehlt, die Trace-Funktion ausschließlich bei der Fehlersuche zu nutzen. Bei aktivierter Trace-Funktion sinkt die Leistung des Remote Loader. Lassen Sie die Trace-Funktion im Produktionsmodus nicht aktiviert.

    1. Geben Sie unter Trace-Stufe einen Wert größer null an. Dieser Wert definiert die Stufe der Informationsmeldungen sowohl vom Remote Loader als auch vom Treiber, die in einem Trace-Fenster angezeigt werden sollen. Die Werte 1 bis 4 sind von der Konsole vordefiniert. Wenn Sie eigene Meldungstypen erstellen möchten, geben Sie einen Wert größer oder gleich 5 ein.

      Die häufigste Einstellung ist die Trace-Stufe 3, bei der Meldungen zur allgemeinen Verarbeitung, zu XML-Dokumenten und zum Remote Loader ausgegeben werden.

    2. Geben Sie unter Trace-Datei den Pfad zu einer Datei an, in der die Trace-Meldungen protokolliert werden sollen. Beispiel: C:\novell\remoteloader.net\Test-Delimited-Trace.log.

      Für jede Treiberinstanz auf einem Computer müssen Sie eine eindeutige Trace-Datei festlegen. Trace-Meldungen werden nur dann in die Trace-Datei geschrieben, wenn die Trace-Stufe größer Null ist.

    3. Geben Sie unter Maximaler Festplattenspeicher für alle Trace-Protokolldateien (MB) einen ungefähren Wert für den Speicherplatz an, den die Trace-Datei für diese Instanz maximal belegen darf.

  9. (Optional) Soll der Remote Loader beim Hochfahren des Computers automatisch gestartet werden, wählen Sie Remote Loader-Dienst für diese Treiberinstanz starten.

    HINWEIS:Wenn die SSL-Verbindung aufgrund von handshaketimeout fehlschlägt, während der Remote Loader eine Verbindung zur Identity Manager-Engine aufbaut, müssen Sie die Standardvariable handshaketimeout auf 10000 festlegen und sowohl den Treiber als auch den Remote Loader neu starten.

  10. (Optional) Geben Sie die Version des sicheren Protokolls in der Konfigurationsdatei des Remote Loader an, um zuzulassen, dass der Remote Loader das sichere Protokoll verwendet, während er eine Verbindung zur Identity Manager-Engine aufbaut. Beispiel: secureprotocol=TLSv1_2

    Weitere Informationen finden Sie unter Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

    HINWEIS:Überspringen Sie diesen Schritt, wenn Sie die Version des sicheren Protokolls bereits auf dem Treiber konfiguriert haben.

  11. (Optional) Geben Sie enforceSuiteB=true in der Konfigurationsdatei des Remote Loader an, um zuzulassen, dass die Remote Loader-Kommunikation die von Suite B angegebenen Protokolle verwendet. Diese Kommunikation wird nur unter dem TLS 1.2-Protokoll unterstützt.

    Weitere Informationen finden Sie unter Abschnitt 10.3.2, Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

    HINWEIS:Überspringen Sie diesen Schritt, wenn Sie bereits die Suite B-Kommunikation auf dem Treiber aktiviert haben.

  12. Klicken Sie auf OK.

Bearbeiten einer vorhandenen Treiberinstanz im .NET Remote Loader

  1. Wählen Sie in der Remote Loader-Konsole die gewünschte Treiberinstanz in der Spalte Beschreibung aus.

  2. Klicken Sie auf Beenden.

  3. Geben Sie das Passwort für den Remote Loader ein, und klicken Sie auf OK.

  4. Klicken Sie auf Bearbeiten.

  5. Bearbeiten Sie die Konfigurationsdaten. Weitere Informationen zu den einzelnen Parametern finden Sie unter Erstellen einer neuen Treiberinstanz im .NET Remote Loader.

  6. Klicken Sie zum Speichern der Änderungen auf OK.

10.3.6 Konfigurieren von Identity Manager-Treibern für die Verwendung mit dem Remote Loader

Sie können einen neuen Treiber konfigurieren oder einen vorhandenen Treiber für die Kommunikation mit dem Remote Loader aktivieren. Sie müssen ein Identity Manager-Anwendungsschnittstellenmodul für die Verwendung mit dem Remote Loader konfigurieren.

HINWEIS:In diesem Abschnitt erhalten Sie allgemeine Informationen darüber, wie Sie Treiber für die Kommunikation mit dem Remote Loader konfigurieren. Treiberspezifische Informationen finden Sie im relevanten Treiberimplementierungshandbuch auf der Website der Identity Manager-Treiberdokumentation.

Zum Hinzufügen eines neuen Treiberobjekts bzw. zum Bearbeiten eines vorhandenen Treiberobjekts in Designer oder iManager müssen Sie Einstellungen konfigurieren, mit denen die Treiberinstanz für den Remote Loader aktiviert wird. Weitere Informationen zu den Parametern in diesem Abschnitt finden Sie unter Erläuterungen zu den Kommunikationsparametern für den Remote Loader.

  1. Wählen Sie unter Überblick das gewünschte Identity Manager-Treiberobjekt aus.

  2. Führen Sie in den Eigenschaften des Treiberobjekts die folgenden Schritte aus:

    1. Aktivieren Sie unter Treibermodul die Option Verbindung zu Remote Loader aufbauen.

    2. Geben Sie unter Treiberobjektpasswort das Passwort ein, mit dem sich der Remote Loader beim Server der Identity Manager-Engine authentifiziert.

      Dieses Passwort muss mit dem Passwort übereinstimmen, das im Remote Loader für das Treiberobjekt definiert ist.

    3. Geben Sie unter Verbindungsparameter für Remote Loader die erforderlichen Informationen zum Herstellen der Verbindung zum Remote Loader an. Verwenden Sie die folgende Syntax:

      hostname=xxx.xxx.xxx.xxx port=xxxx kmo=certificatename localaddress=xxx.xxx.xxx.xxx

      Hierbei gilt:

      Hostname

      Gibt die IP-Adresse des Servers an, auf dem der Remote Loader gehostet wird. Beispiel: hostname=192.168.0.1.

      port

      Gibt den Port an, den der Remote Loader überwacht. Der Standardwert ist 8090.

      kmo

      Gibt den Schlüsselnamen des Schlüsselmaterialobjekts (KMO) ein, das die für SSL-Verbindungen verwendeten Schlüssel und Zertifikate enthält. Beispiel: kmo=remotecert.

      localaddress

      Gibt die Quell-IP-Adresse an, falls mehrere IP-Adressen auf dem Server konfiguriert sind, auf dem die Identity Manager-Engine gehostet wird.

    4. Geben Sie unter Remote Loader-Passwort das Passwort an, mit dem sich die Identity Manager-Engine (oder das Remote Loader-Schnittstellenmodul) beim Remote Loader authentifiziert.

  3. Definieren Sie einen sicherheitsäquivalenten Benutzer.

  4. Klicken Sie auf Weiter und dann auf Fertig stellen.

10.3.7 Konfigurieren der beiderseitigen Authentifizierung mit der Identity Manager-Engine

Sie können die beiderseitige Authentifizierung konfigurieren, um die sichere Kommunikation zwischen dem Remote Loader und der Identity Manager-Engine sicherzustellen. Die beiderseitige Authentifizierung verwendet für den Handshake Zertifikate anstatt von Passwörtern. Der Remote Loader und die Identity Manager-Engine authentifizieren sich gegenseitig, indem sie das Zertifikat mit öffentlichem Schlüssel oder das digitale Zertifikat von der verbürgten Zertifizierungsstelle oder die eigensignierten Zertifikate austauschen und überprüfen. Wenn die beiderseitige Authentifizierung erfolgreich ist, authentifiziert sich der Remote Loader bei der Engine. Synchronisierungsdatenverkehr findet statt, nachdem sowohl der Remote Loader als auch die Identity Manager-Engine sicher sind, dass sie mit einer autorisierten Entität kommunizieren.

Führen Sie zum Konfigurieren der beiderseitigen Authentifizierung die folgenden Aufgaben aus:

Exportieren der Zertifikate für die Identity Manager Engine und den Remote Loader

Damit die beiderseitige Authentifizierung ordnungsgemäß funktioniert, brauchen Sie ein Serverzertifikat für die Engine und ein Client-Zertifikat für den Remote Loader. Sie können die Zertifikate von eDirectory exportieren oder sie von einem Drittanbieter importieren. In den meisten Fällen exportieren Sie ein Serverzertifikat von eDirectory ohne zusätzliche Kosten. In einigen Fällen möchten Sie möglicherweise ein Drittanbieter-Client-Zertifikat für den Remote Loader exportieren.

Exportieren eines Zertifikats von eDirectory

Ein Zertifikatsobjekt im Identitätsdepot wird KMO (Key Material Object) genannt. Dieses Objekt enthält sowohl die Zertifikatsdaten einschließlich des öffentlichen Schlüssels und den privaten Schlüssel, der mit dem für SSL-Verbindungen verwendeten Zertifikat verknüpft ist. Für die beiderseitige Authentifizierung benötigen Sie zwei KMOs , jeweils eines für die Engine und eines für den Remote Loader.

Sie können ein vorhandenes KMO exportieren oder ein neues KMO erstellen und es dann exportieren. Die Abläufe beim Erstellen eines Client-KMO und eines Server-KMO sind nicht identisch.

Erstellen von KMOs

Vor dem Erstellen eines Client-KMO müssen Sie ein Server-KMO erstellen. Gehen Sie zur Erstellung eines KMO folgendermaßen vor:

  1. Melden Sie sich bei NetIQ iManager an.

  2. Wählen Sie im linken Bereich die Option NetIQ-Zertifikatserver > Serverzertifikat erstellen.

  3. Wählen Sie den Server aus, der als Eigentümer für das erstellte Zertifikat fungieren soll.

  4. Geben Sie einen Kurznamen für das Zertifikat ein.

    Beispiel: serverkmo für ein Serverzertifikat und clientkmo für ein Client-Zertifikat.

  5. Wählen Sie für die Zertifikaterstellungsmethode die Option Benutzerdefiniert und klicken Sie auf Weiter.

  6. Behalten Sie die Standardauswahl für Organisations-Zertifizierungsstelle bei und klicken Sie auf Weiter.

  7. (Bedingt) Wenn Sie ein Client-KMO erstellen.

    1. Wählen Sie Erweiterte Schlüsselnutzung aktivieren.

    2. Wählen Sie Benutzerdefiniert und dann Benutzerauthentifizierung.

    3. Klicken Sie auf Weiter.

    HINWEIS:Bei einem Server-KMO behalten Sie die Standardauswahl bei und klicken Sie auf Weiter.

  8. Geben Sie den Gültigkeitszeitraum für das KMO an.

    Die iManager-Systemzeit muss mit den Identity Manager-Komponenten und der verbundenen Anwendung synchronisiert sein.

  9. Überprüfen Sie die Zusammenfassung, klicken Sie auf Fertig stellen und anschließend auf Schließen.

  10. Wiederholen Sie diese Schritte und erstellen Sie ein Client-KMO.

Exportieren von KMOs

Exportieren Sie die KMOs aus eDirectory, die die Engine und der Remote Loader zur gegenseitigen Authentifizierung verwenden.

Führen Sie zum Exportieren des KMO für die Identity Manager-Engine das DirXML-Befehlszeilen-Dienstprogramm (dxcmd) aus:

dxcmd -user <admin DN> -password <password of admin> -exportcerts <kmoname> <server|client> <java|native|dotnet> <output dir>

Hierbei gilt:

  • user gibt den Namen eines Benutzers mit Verwaltungsrechten für den Treiber an.

  • password gibt das Passwort des Benutzers mit Verwaltungsrechten für den Treiber an.

  • exportcerts exportiert die Zertifikate und privaten/öffentlichen Schlüssel von eDirectory. Sie müssen angeben, ob Sie ein Server- oder Client-Zertifikat exportieren, welcher Treibertyp das Zertifikat verwendet und in welchem Zielordner der Befehl diese Informationen speichert.

Beispiel: dxcmd -user admin.sa.system -password novell -exportcerts serverkmo server java 'C:\certs'

Dieser Befehl generiert die Datei serverkmo_server.ks im Verzeichnis C:\certs. Das Standard-Keystore-Passwort und das Standard-Schlüsselpasswort lauten dirxml.

Bei der Ausführung des dxcmd-Befehls zum Exportieren des KMO für den Remote Loader gelten die folgenden Überlegungen:

  • Das dxcmd-Dienstprogramm wird im LDAP-Modus ausgeführt. Wenn Sie es zum ersten Mal verwenden, werden Sie aufgefordert, anzugeben, in welcher Weise Sie dem Zertifikat von eDirectory vertrauen möchten. Abhängig von Ihrer Umgebung wählen Sie, dass Sie dem Zertifikat nur für die aktuelle Sitzung oder für die aktuelle und zukünftige Sitzung vertrauen oder dass Sie allen Zertifikaten vertrauen. Sie können auch auswählen, dass dem Zertifikat nicht vertraut werden soll.

  • Führen Sie den Befehl entweder im LDAP-Format oder im DOT-Format aus, wenn der Remote Loader auf dem Identity Manager-Server ausgeführt wird. Führen Sie den Befehl nur im LDAP-Format aus, wenn der Remote Loader auf einem separaten Server installiert ist.

  • Geben Sie den -host-Parameter im Befehl an, um die Server-IP-Adresse oder den Hostnamen aufzulösen und sich beim Identity Manager-Server zu authentifizieren.

Führen Sie den Befehl mit der folgenden Syntax aus:

dxcmd -dnform ldap -host <IP-Adresse des Hosts> -user <Administrator-DN> -password <Passwort des Administrators> -exportcerts <KMO-Name> <Client> <java|native|dotnet> <Ausgabeverzeichnis>

Tabelle 10-1 Beispiele für verschiedene Treibertypen

Treibertyp

Befehl

Ausgabe

Java-Treiber

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client java 'C:\certs'

Datei clientkmo_client.ks im Verzeichnis C:\certs

Das Standardpasswort für den Keystore lautet dirxml.

Das standardmäßige Passwort für privaten Schlüssel lautet dirxml.

Nativer Treiber

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client native 'C:\certs'

Dateien clientkmo_clientcert.pem, clientkmo_clientkey.pem und trustedcert.b64 im Verzeichnis C:\certs.

Das Standard-Schlüsselpasswort lautet dirxml.

.NET-Treiber

 
dxcmd -dnform ldap -host 194.99.90.218 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client dotnet 'C:\certs'

Dateien clientkmo_clientcert.pfx und trustedcert.b64 im Verzeichnis C:\certs.

Das Standard-Schlüsselpasswort für clientkmo_clientcert.pfx lautet dirxml.

Exportieren eines Drittanbieter-Zertifikats für Remote Loader

Zur Verwendung von Drittanbieter-Zertifikaten mit dem Remote Loader müssen Sie ein Zertifikat in die PFX-Datei exportieren sowie eine Herkunftsverbürgungsdatei im Base 64-Format und anschließend das PFX-Zertifikat in das Format konvertieren, das der Treiber verwendet. Beispiel: Ein nativer Treiber benötigt den privaten Schlüssel und den Zertifikatsschlüssel im PEM-Format, während ein Java-Treiber den Keystore im JKS-Format benötigt. Der .NET-Treiber verwendet die Datei im PFX-Format. Daher müssen Sie die Datei für einen .NET-Treiber konvertieren.

Nativer Treiber

Führen Sie die folgenden Schritte durch:

  1. Rufen Sie den privaten Schlüssel im PEM-Format von der PFX-Datei ab.

    Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -in servercert.pfx -out serverkey.pem

  2. Rufen Sie den Zertifikatsschlüssel im PEM-Format von der PFX-Datei ab.

    Geben Sie einen Befehl ein, beispielsweise openssl pkcs12 -in servercert.pfx -out servercert.pem

Java-Treiber

Erstellen Sie einen Java-Keystore aus der PFX-Datei. Geben Sie den folgenden Befehl ein:

keytool -importkeystore -srckeystore servercert.pfx -srcstoretype pkcs12 -destkeystore servercert.jks -deststoretype JKS

Mit diesem Befehl werden Sie dazu aufgefordert, das Keystore-Passwort für die Quelle (srckeystore passwd)und das Keystore-Passwort für das Ziel (dest keystorepasswd) einzugeben. Geben Sie diese Passwörter entsprechend ein.

Geben Sie im letzten Schritt abhängig vom Treibertyp die Informationen in der Konfigurationsdatei für den Remote Loader an. Weitere Informationen finden Sie unter Aktivieren eines Treibers für die beiderseitige Authentifizierung.

Aktivieren eines Treibers für die beiderseitige Authentifizierung

Sie aktivieren eine Treiberkommunikation für die beiderseitige Authentifizierung, indem Sie die folgenden Aufgaben ausführen:

Konfigurieren eines Treibers mit KMO oder Keystore

Sie haben die Möglichkeit, den Treiber mit KMO oder Keystore in Designer oder iManager zu konfigurieren.

Designer

Bevor Sie einen Treiber mit einem KMO oder Keystore in Designer konfigurieren können, müssen Sie die folgende grundlegende Treiberkonfiguration vornehmen:

  1. Öffnen Sie Ihr Projekt in Designer.

  2. Wählen Sie in der Palette der Ansicht Modellierer den zu erstellenden Treiber aus.

  3. Ziehen Sie das Symbol für den Treiber auf die Ansicht Modellierer.

  4. Befolgen Sie die Anweisungen im Installationsassistenten.

  5. Wählen Sie im Remote Loader-Fenster die Option Ja.

    1. Hostname: Geben Sie den Hostnamen oder die IP-Adresse des Servers an, auf dem der Remote Loader-Service ausgeführt wird. Geben Sie beispielsweise für Hostname den Wert 192.168.0.1 ein. Wenn Sie für diesen Parameter keinen Wert angeben, wird standardmäßig der Wert localhost verwendet.

    2. Port: Geben Sie die Nummer des Ports an, an dem der Remote Loader installiert ist und für diesen Treiber ausgeführt wird. Die Standardportnummer ist 8090.

  6. Klicken Sie auf Weiter.

  7. Befolgen Sie die restlichen Anweisungen im Assistenten, bis die Installation des Treibers abgeschlossen ist.

  8. Sehen Sie sich die Zusammenfassung der Aufgaben an, die zur Erstellung des Treibers ausgeführt werden. Klicken Sie anschließend auf Fertig stellen.

So bearbeiten Sie die Treiberkonfiguration per KMO oder KeyStore

  1. Klicken Sie in der Ansicht Gliederung in Designer mit der rechten Maustaste auf den Treiber.

  2. Wählen Sie Eigenschaften aus.

  3. Wählen Sie im Navigationsbereich die Option Treiberkonfiguration aus.

  4. Wählen Sie unter Authentifizierung die Option Beiderseitige Authentifizierung aktivieren und geben Sie die folgenden Parameter an:

    KMO

    Gibt den Namen des Server-KMO an.

    Andere Parameter

    Gibt die Root-Datei (rootfile) und ihren absoluten Pfad an.

    Keystore-Datei

    Gibt den absoluten Pfad für die Keystore-Datei an.

    Schlüssel-Alias

    Gibt den Namen des Server-KMO an.

    Abbildung 10-1 Beispielkonfiguration zur Aktivierung der beiderseitigen Authentifizierung in Designer

  5. Legen Sie das Keystore-Passwort fest.

  6. Legen Sie das Schlüsselpasswort fest.

HINWEIS:Standardmäßig lauten das Keystore-Passwort und das Schlüsselpasswort jeweils dirxml.

Sie können das Keystore- und das Schlüsselpasswort auch mit dem Befehl dxcmd festlegen.

dxcmd -user <administrative_user> -password <admin_password>

  1. Wählen Sie Treiberaktionen.

  2. Wählen Sie den Treiber aus, für den das Keystore- und das Schlüsselpasswort festgelegt werden sollen.

  3. Wählen Sie Passwortaktionen.

  4. Wählen Sie Keystore-Passwort für beiderseitige Authentifizierung festlegen und geben Sie das Keystore-Passwort ein.

  5. Wählen Sie Schlüsselpasswort für beiderseitige Authentifizierung festlegen und geben Sie das Schlüsselpasswort ein.

iManager

So bearbeiten Sie die Konfiguration in iManager:

  1. Starten Sie iManager.

  2. Wählen Sie unter Identity Manager-Administration die Option Identity Manager-Überblick.

  3. Wählen Sie unter Überblick den gewünschten Identity Manager-Treibersatz aus.

  4. Wählen Sie Eigenschaften bearbeiten für den zu konfigurierenden Treiber.

  5. Legen Sie unter Treiberkonfiguration die folgenden Parameter fest:

    1. Aktivieren Sie unter Treibermodul die Option Verbindung zu Remote Loader aufbauen.

    2. Legen Sie in den Remote Loader-Verbindungsparametern die folgenden Verbindungsdetails fest:

      KMO=<server_KMO_name>
rootfile=<absolute path to the file>

      Beispiel:

      KMO=serverkmo
rootfile=C:\cacert.b64

    3. Legen Sie das Anwendungspasswort fest.

    4. Wählen Sie Beiderseitige Authentifizierung aktivieren.

    5. Soll die Keystore-Methode verwendet werden, geben Sie Folgendes an:

      Schlüssel-Alias

      Gibt den Namen des Server-KMO an und legt das Schlüsselpasswort fest.

      Beispiel: serverKMO

      Keystore-Datei

      Gibt den absoluten Pfad der Keystore-Datei an und legt das Keystore-Passwort fest.

      Beispiel: C:\certs\serverkmo_server.ks

    6. Klicken Sie auf Anwenden und dann auf OK.

    Abbildung 10-2 Beispielkonfiguration zur Aktivierung der beiderseitigen Authentifizierung in iManager

HINWEIS:Wenn Sie die beiderseitige Authentifizierung aktivieren, müssen das Remote Loader-Passwort und das Treiberobjekt-Passwort nicht konfiguriert werden.

Hinzufügen einer neuen Remote Loader-Treiberinstanz

  1. Klicken Sie mit der rechten Maustaste auf die Anwendung Identity Manager Remote Loader-Konsole und wählen Sie Als Administrator ausführen.

  2. Zum Hinzufügen einer neuen Remote Loader-Instanz klicken Sie auf Hinzufügen.

  3. Geben Sie die Beschreibung an und wählen Sie den Treibertyp aus.

  4. Geben Sie den Verbindungsport an, über den der Remote Loader und die Identity Manager-Engine verbunden werden sollen.

  5. Geben Sie den Befehlsport für die Remote Loader-Instanz an.

  6. Wählen Sie Beiderseitige Authentifizierung und geben Sie den erforderlichen Treibertyp an:

    • Java-Treiber: Navigieren Sie zu dem Pfad der Keystore-Datei, die das Zertifikat enthält. Die Keystore-Datei muss mindestens ein Schlüsselpaar aus öffentlichem und privatem Schlüssel enthalten.

      Keystore-Datei

      Gibt den Pfad zur Java-Keystore-Datei an, die für die Authentifizierung verwendet werden soll. Die Keystore-Datei enthält Verschlüsselungsschlüssel und Zertifikate. Beispiel: Datei clientkmo_client.ks im Verzeichnis C:\certs\ erstellt durch dxcmd im Abschnitt Exportieren eines Zertifikats von eDirectory.

      Schlüssel-Alias

      Gibt den Namen des Schlüsselpaars aus öffentlichem und privatem Schlüssel in der Keystore-Datei an, mit dem symmetrische Schlüssel generiert werden sollen. Beispiel: clientkmo.

      Keystore-Passwort

      Gibt das Passwort an, mit dem die Keystore-Datei geladen wird.

      Passwort für privaten Schlüssel

      Gibt das Passwort für den privaten Schlüssel an, der im Keystore gespeichert ist. Mit diesem Schlüssel verschlüsselt Identity Manager die SSL-Kommunikation.

      Abbildung 10-3 Beispiel für das Hinzufügen einer Java Remote Loader-Instanz

    • Nativer Treiber: Navigieren Sie zu dem Pfad der Schlüsseldatei, in der das Zertifikat für die Authentifizierung gespeichert ist. Die Schlüsseldatei muss im Base 64-Format vorliegen.

      Schlüsseldatei

      Gibt den Pfad zur Datei an, in der der Schlüssel für die Authentifizierung gespeichert ist. Beispiel: Datei clientkmo_clientkey.pem im Verzeichnis C:\certs\ erstellt durch dxcmd.

      Schlüsselpasswort

      Gibt das Passwort für den privaten Schlüssel für die Authentifizierung an.

      Zertifikatsdatei

      Gibt die Datei an, in der die Zertifikate gespeichert sind. Die Zertifikatsdatei muss im Base 64-Format vorliegen. Beispiel: Datei clientkmo_clientkey.pem im Verzeichnis C:\certs\ erstellt durch dxcmd im Abschnitt Exportieren eines Zertifikats von eDirectory.

      Herkunftsverbürgungsdatei

      Gibt den Namen der Datei an, die das Herkunftsverbürgungszertifikat des Herausgebers des Zertifikats für das Remote-Schnittstellenmodul enthält. Die Herkunftsverbürgungsdatei muss im Base 64-Format vorliegen. Beispiel: trustedcert.b64-Dateien im Verzeichnis C:\certs\ erstellt durch dxcmd im Abschnitt Exportieren eines Zertifikats von eDirectory.

      Abbildung 10-4 Beispiel für das Hinzufügen einer nativen Remote Loader-Instanz

    • .Net-Treiber: Navigieren Sie zu dem Pfad der Schlüsseldatei, in der das Zertifikat für die Authentifizierung gespeichert ist.

      Schlüsseldatei

      Gibt den Pfad zur Datei an, in der der Schlüssel für die Authentifizierung gespeichert ist. Beispiel:clientkmo_clientcert.pfx im Verzeichnis C:\certs\ erstellt durch dxcmd in Abschnitt Exportieren eines Zertifikats von eDirectory.

      Schlüsselpasswort

      Gibt das Passwort für den privaten Schlüssel für die Authentifizierung an.

      Herkunftsverbürgungsdatei

      Gibt den Namen der Datei an, die das Herkunftsverbürgungszertifikat des Herausgebers des Zertifikats für das Remote-Schnittstellenmodul enthält. Die Herkunftsverbürgungsdatei muss im Base 64-Format vorliegen. Beispiel: Datei trustedcert.b64 im Verzeichnis C:\certs\ erstellt durch dxcmd in Abschnitt Exportieren eines Zertifikats von eDirectory.

      Abbildung 10-5 Beispiel für das Hinzufügen einer .Net Remote Loader-Instanz

    Weitere Informationen zu den Ausgabedateien für diesen Treiber, die mit dem dxcmd-Werkzeug erstellt werden, finden Sie unter Tabelle 10-1, Beispiele für verschiedene Treibertypen.

Konfigurieren des Remote Loader für Treiberinstanzen

Sie müssen die Treiberinstanz in der Remote Loader-Konfigurationsdatei konfigurieren. Geben Sie unbedingt den absoluten Pfad zu dem Verzeichnis, in dem die Keystore-Datei, die Schlüsseldatei, die Zertifikatsdatei und die Stammdatei gespeichert sind, in der Remote Loader-Konfigurationsdatei für einen Treiber an.

  1. Wählen Sie in der Remote Loader-Konsole die gewünschte Treiberinstanz in der Spalte Beschreibung aus.

  2. Klicken Sie auf Beenden.

  3. Geben Sie das Passwort für den Remote Loader ein, und klicken Sie auf OK.

  4. Klicken Sie auf Bearbeiten und führen Sie Schritt 6 unter Hinzufügen einer neuen Remote Loader-Treiberinstanz aus.

  5. Klicken Sie auf OK.

10.3.8 Überprüfen der Konfiguration

Weitere Informationen zum Starten und Anhalten des Remote Loader finden Sie in Abschnitt 10.4, Starten und Anhalten des Remote Loader.

  1. Starten Sie den Treiber mit iManager.

  2. Verwalten Sie Remote Loader mit einem der folgenden Verfahren:

    Remote Loader-Benutzeroberfläche

    1. Klicken Sie mit der rechten Maustaste auf die Identity Manager Remote Loader-Konsole und wählen Sie Als Administrator ausführen.

    2. In der Remote Loader-Benutzeroberfläche stehen unter anderem die Optionen Starten, Anhalten, Hinzufügen und Entfernen zur Auswahl.

    HINWEIS:Soll Remote Loader als Dienst ausgeführt werden, wählen Sie Remote Loader-Dienst für diese Treiberinstanz einrichten. Wenn Sie diese Option deaktivieren, wird Remote Loader als Anwendung ausgeführt.

    Remote Loader-Konsole

    Navigieren Sie zum Remote Loader-Installationsverzeichnis und führen Sie die folgenden Befehle in der Befehlszeile aus:

    1. So starten oder laden Sie die Remote Loader-Instanz:

      Für Java Remote Loader:

      dirxml_jremote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_jremote -config <configuration_filename>

      Für nativen Remote Loader:

      dirxml_remote -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

dirxml_remote -config <configuration_filename>

      Für .Net Remote Loader:

      RemoteLoader.exe  -config <configuration_filename> -ksp <keystore_password> -kp <keypassword>

RemoteLoader.exe  -config <configuration_filename>

    2. Zum Anhalten oder Entladen der Remote Loader-Instanz hängen Sie „-u“ an das Ende des vorangegangenen Befehls an. Beispiel

      Für Java Remote Loader:

      dirxml_jremote -config <configuration_filename> -u

      Für nativen Remote Loader:

      dirxml_remote -config <configuration_filename> -u

      Für .Net Remote Loader:

      RemoteLoader.exe  -config <configuration_filename> -u

    HINWEIS:Mit dem folgenden Befehl führen Sie eine Remote Loader-Instanz als Dienst aus:

    dirxml_remote -config config.txt -service install