Identity Manager unterstützt die SSPR-Konfiguration in einer Tomcat-Clusterumgebung.
Starten Sie zur Aktualisierung der SSPR-Informationen im ersten Knoten des Clusters das Konfigurationsprogramm unter opt/netiq/idm/apps/configupdate/configupdate.sh.
Klicken Sie im Fenster, das sich nun öffnet, auf SSO-Clients > Self Service Password Reset und geben Sie die Werte für die Parameter Client-ID, Passwort und OSP Auth redirect URL (URL zur Umleitung der OSP-Authentifizierung) ein.
Führen Sie die folgenden Konfigurationsaufgaben in den Clusterknoten durch:
Melden Sie sich zur Aktualisierung des Links „Passwort vergessen“ mit der SSPR-IP-Adresse bei der Benutzeranwendung im ersten Knoten an und klicken Sie auf Verwaltung > Passwort vergessen.
Weitere Informationen zur SSPR-Konfiguration finden Sie unter Konfigurieren der „Passwort vergessen“-Verwaltung.
Weitere Informationen zum Link „Passwort ändern“ finden Sie in Aktualisieren der SSPR-Links im Dashboard für eine dezentrale Umgebung oder eine Cluster-Umgebung.
Überprüfen Sie, ob die Links „Passwort vergessen“ und „Passwort ändern“ mit der SSPR-IP-Adresse in den anderen Knoten im Cluster aktualisiert sind.
HINWEIS:Wenn die Links „Passwort vergessen“ und „Passwort ändern“ bereits mit der SSPR-IP-Adresse aktualisiert sind, brauchen Sie keine Änderungen vorzunehmen.
Stoppen Sie Tomcat im ersten Knoten und generieren Sie eine neue osp.jks-Datei. Geben Sie dazu den DNS-Namen des Lastausgleichservers an und führen Sie den folgenden Befehl aus:
/opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <Passwort> -keypass <Passwort> -alias osp -validity 1800 -dname "cn=<IP/DNS_des_Lastausgleichprogramms>"
Beispiel: /opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
HINWEIS:Das Schlüsselpasswort muss dasselbe sein wie das während der OSP-Installation angegebene Passwort. Alternativ kann dies auch mit dem Konfigurationsaktualisierungsprogramm und dem Keystore-Passwort geändert werden.
(Bedingt) Führen Sie folgenden Befehl aus, um zu überprüfen, ob die osp.jks-Datei mit den Änderungen aktualisiert wurde:
/opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit
Sichern Sie die ursprüngliche osp.jks-Datei, die sich unter /opt/netiq/idm/apps/osp befindet, und kopieren Sie die neue osp.jks-Datei an diesen Speicherort. Die neue osp.jks-Datei wurde in Schritt Schritt 4 erstellt.
Kopieren Sie die neue osp.jks-Datei, die sich unter /opt/netiq/idm/apps/osp/ befindet, vom ersten Knoten zu allen anderen Benutzeranwendungsknoten im Cluster.
Starten Sie das Konfigurationsprogramm im ersten Knoten und ändern Sie alle URL-Einstellungen wie den URL-Link zur Landeseite und die OAuth-Umleitungs-URL zum DNS-Namen des Lastausgleichprogramms auf der Registerkarte "SSO-Client".
Speichern Sie die Änderungen im Konfigurationsprogramm.
Kopieren Sie Datei ism-configuration properties, die sich unter /TOMCAT_INSTALLED_HOME/conf befindet, vom ersten Knoten zu allen anderen Benutzeranwendungsknoten, um die Änderungen auf alle anderen Knoten im Cluster zu übertragen.
HINWEIS:Sie haben die Datei ism.properties vom ersten Knoten in alle anderen Knoten im Cluster kopiert. Wenn Sie bei der Installation der Benutzeranwendung Pfade angegeben haben, müssen Sie dafür sorgen, dass die entsprechenden Pfade korrigiert werden; verwenden Sie dazu das Konfigurationsaktualisierungsprogramm in den Clusterknoten.
In diesem Szenario sind OSP und die Benutzeranwendung auf demselben Server installiert; daher wird für die Umleitungs-URLs derselbe DNS-Name verwendet.
Wenn OSP und die Benutzeranwendung auf verschiedenen Servern installiert sind, müssen Sie die OSP-URLs in einen anderen DNS-Namen ändern, der auf das Lastausgleichprogramm verweist. Wiederholen Sie dies für alle Server, auf denen OSP installiert ist. Dadurch werden alle OSP-Anforderungen über das Lastausgleichprogramm an den DNS-Namen des OSP-Clusters zugestellt. Dazu muss für OSP-Knoten ein separater Cluster vorhanden sein.
Führen Sie die folgenden Schritte in der Datei setenv.sh im Verzeichnis /TOMCAT_INSTALLED_HOME/bin/ durch:
Für ein erfolgreiches mcast_addr-Binding muss für JGroups die Eigenschaft preferIPv4Stack auf true festgelegt sein. Fügen Sie dazu die JVM-Eigenschaft Djava.net.preferIPv4Stack=true in Datei setenv.sh in allen Knoten hinzu.
Fügen Sie -Dcom.novell.afw.wf.engine-id=Engine" in Datei setenv.sh im ersten Knoten hinzu.
Der Engine-Name sollte eindeutig sein. Geben Sie den Namen an, der bei der Installation des ersten Knotens vergeben wurde. Der Standardname lautet "Engine”, falls kein anderer Name angegeben wurde.
Fügen Sie entsprechend einen eindeutigen Engine-Namen für die anderen Knoten im Cluster hinzu. Beispielsweise kann der Engine-Name für den zweiten Knoten "Engine2" lauten.