4.6 Konfigurieren der Laufzeitumgebung für die Datenerfassung

Dieser Abschnitt enthält Informationen zu zusätzlichen Konfigurationsschritten, die für die ordnungsgemäße Funktionsfähigkeit der Laufzeitumgebung sorgen. Hier finden Sie außerdem Verfahren zur Fehlersuche sowie Informationen zu wichtigen Datenbanktabellen.

Dieser Vorgang umfasst folgende Schritte:

Weitere Informationen zu Problemen mit einem oder mehreren Treibern auftreten, die Sie nicht ohne weiteres selbst beheben können, finden Sie unter „Troubleshooting the Drivers“ (Fehlersuche für die Treiber) im NetIQ Identity Reporting Module Guide (Handbuch zum Berichterstellungsmodul in NetIQ Identity Manager).

4.6.1 Konfigurieren des DCS-Treibers für das Erfassen von Daten aus den Identitätsanwendungen

Damit die Identitätsanwendungen ordnungsgemäß mit der Identitätsberichterstellung zusammenarbeiten, müssen Sie den DCS-Treiber für die Unterstützung des OAuth-Protokolls konfigurieren.

HINWEIS:

  • Der DCS-Treiber muss nur dann installiert und konfiguriert werden, wenn Sie die Identitätsberichterstellung in Ihrer Umgebung nutzen.

  • Wenn mehrere DCS-Treiber in Ihrer Umgebung konfiguriert sind, müssen Sie die nachfolgenden Schritte jeweils für alle Treiber ausführen.

  1. Melden Sie sich bei Designer an.

  2. Öffnen Sie Ihr Projekt in Designer.

  3. (Bedingt) Falls Sie den DCS-Treiber noch nicht auf die unterstützte Patch-Version aufgerüstet haben, führen Sie die folgenden Schritte aus:

    1. Laden Sie die aktuelle Patch-Datei für den DCS-Treiber herunter.

    2. Extrahieren Sie die Patch-Datei in ein Verzeichnis auf Ihrem Server.

    3. Navigieren Sie in einem Terminal zum Speicherort der extrahierten Patch-RPM-Datei für Ihre Umgebung, und führen Sie den folgenden Befehl aus:

      rpm -Uvh novell-DXMLdcs.rpm

    4. Starten Sie das Identitätsdepot neu.

    5. Überprüfen Sie in Designer, ob eine unterstützte Version des Datenerfassungsdienst-Basispakets installiert ist. Falls nötig, installieren Sie die aktuelle Version, bevor Sie den Vorgang fortsetzen.

    6. Stellen Sie den DCS-Treiber in Designer erneut bereit, und starten Sie ihn neu.

  4. Klicken Sie in der Ansicht Gliederung mit der rechten Maustaste auf den DCS-Treiber, und wählen Sie Eigenschaften.

  5. Klicken Sie auf Treiberkonfiguration.

  6. Klicken Sie auf die Registerkarte Treiberparameter.

  7. Klicken Sie auf Verbindungsparameter anzeigen, und wählen Sie Anzeigen.

  8. Klicken Sie auf Unterstützung für SSO-Dienst, und wählen Sie Ja.

  9. Geben Sie die IP-Adresse und den Port für Identity Reporting ein.

  10. Geben Sie das Passwort für den SSO-Dienst-Client ein. Das Standardpasswort lautet driver.

  11. Klicken Sie auf Anwenden und dann auf OK.

  12. Klicken Sie in der Ansicht Modellierer mit der rechten Maustaste auf den DCS-Treiber, und wählen Sie Treiber > Bereitstellen.

  13. Klicken Sie auf Bereitstellen.

  14. Wenn Sie aufgefordert werden, den DCS-Treiber neu zu starten, klicken Sie auf Ja.

  15. Klicken Sie auf OK.

4.6.2 Migrieren des DCS-Treibers

Damit die Objekte mit dem Identity Information Warehouse synchronisiert werden können, müssen Sie den DCS-Treiber migrieren.

  1. Melden Sie sich bei iManager an.

  2. Wählen Sie in der Kontrollleiste Überblick für den DCS-Treiber Kontrollleiste die Option Datenerfassungsdiensttreiber, auswählen Von Identitätsdepot migrieren.

  3. Wählen Sie die Organisationen aus, die relevante Daten enthalten, und klicken Sie auf Starten.

    HINWEIS:Der Migrationsvorgang kann mehrere Minuten dauern, abhängig von der vorliegenden Datenmenge. Warten Sie in jedem Fall ab, bis der Migrationsvorgang abgeschlossen ist, und fahren Sie dann erst mit den nächsten Schritten fort.

  4. Warten Sie ab, bis der Migrationsvorgang abgeschlossen ist.

  5. Die Tabellen idmrpt_identity und idmrpt_acct enthalten Informationen zu den Identitäten und Konten im Identitätsdepot. Überprüfen Sie, ob die folgenden Arten von Informationen in diesen Tabellen vorliegen:

  6. Überprüfen Sie im LDAP-Browser, ob bei der Migration die folgenden Verweise auf DirXML-Verknüpfungen hinzugefügt wurden:

    • Überprüfen Sie für alle Benutzer jeweils die folgenden Arten von Informationen:

    • Überprüfen Sie für alle Gruppen jeweils die folgenden Arten von Informationen:

  7. Die Daten in der Tabelle idmrpt_group müssen wie folgt aufgebaut sein (Beispiel):

    Diese Tabelle zeigt den Namen der einzelnen Gruppen und dazu die Flags, aus denen hervorgeht, ob eine Gruppe dynamisch oder verschachtelt ist. Außerdem ist hier ersichtlich, ob die Gruppe migriert wurde. Wenn ein Objekt in der Benutzeranwendung geändert, jedoch noch nicht migriert wurde, ist der Synchronisierungsstatus (idmrpt_syn_state) unter Umständen auf 0 gesetzt. Wenn Sie beispielsweise einen Benutzer zu einer Gruppe hinzugefügt haben, ohne den Treiber zu migrieren, ist dieser Wert ggf. gleich 0.

  8. (Optional) Überprüfen Sie die Daten in den folgenden Tabellen:

    • idmrpt_approver

    • idmrpt_association

    • idmrpt_category

    • idmrpt_container

    • idmrpt_idv_drivers

    • idmrpt_idv_prd

    • idmrpt_role

    • idmrpt_resource

    • idmrpt_sod

  9. (Optional) Die Tabelle idmrpt_ms_collect_state enthält Informationen zum Datenerfassungsstatus des MSGW-Treibers. Überprüfen Sie, ob in dieser Tabelle nunmehr Zeilen vorliegen.

    Aus dieser Tabelle geht hervor, welche REST-Endpunkte der verwalteten Systeme ausgeführt wurden. Derzeit weist die Tabelle noch keine Zeilen auf, da Sie die Erfassung mit diesem Treiber noch nicht gestartet haben.

4.6.3 Zusätzliche Unterstützung für benutzerdefinierte Attribute und Objekte

Sie können den DCS-Treiber so konfigurieren, dass Daten auch für benutzerdefinierte Attribute und Objekte gespeichert werden, die nicht zum standardmäßigen Datenerfassungsschema gehören. Hierzu bearbeiten Sie den Filter des DCS-Treibers. Das Bearbeiten des Filters löst nicht sofort die Objektsynchronisierung aus. Die neu hinzugefügten Attribute und Objekte werden stattdessen an die Datenerfassungsdienste gesendet, sobald Hinzufügungs-, Bearbeitungs- oder Löschvorgänge im Identitätsdepot erfolgen.

Wenn Sie die Unterstützung für benutzerdefinierte Attribute und Objekte hinzufügen, müssen Sie die Berichte so ändern, dass die erweiterten Attribut- und Objektdaten berücksichtigt werden. Die folgenden Ansichten zeigen aktuelle Daten und Verlaufsdaten für die erweiterten Objekte und Attribute:

  • idm_rpt_cfg.idmrpt_ext_idv_item_v

  • idm_rpt_cfg.idmrpt_ext_item_attr_v

Dieser Vorgang umfasst folgende Schritte:

Konfigurieren des Treibers für die Verwendung erweiterter Objekte

Sie können beliebige Objekte und Attribute in die Filterrichtlinie für den DCS-Treiber aufnehmen. Wenn Sie ein neues Objekt oder Attribut hinzufügen, müssen Sie jeweils die GUID (mit „subscriber sync“) und die Objektklasse (mit „subscriber notify“) wie im folgenden Beispiel zuordnen:

<filter-class class-name="Device" publisher="ignore" publisher-create-homedir="true" publisher-track-template-member="false" subscriber="sync"> 
<filter-attr attr-name="CN" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Description" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="GUID" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Object Class" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="notify"/> 
<filter-attr attr-name="Owner" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="Serial Number" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceModel" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
<filter-attr attr-name="sampleDeviceType" from-all-classes="true" merge-authority="default" publisher="ignore" publisher-optimize-modify="true" subscriber="sync"/> 
</filter-class>

Angeben eines Namens und einer Beschreibung in der Datenbank

Wenn das Objekt in der Datenbank mit einem Namen und einer Beschreibung versehen werden soll, fügen Sie eine Schemazuordnungsrichtlinie für „_dcsName“ und „_dcsDescription“ hinzu. Mit der Schemazuordnungsrichtlinie werden die Attributwerte in der Objektinstanz den Spalten „idmrpt_ext_idv_item.item_name“ bzw. „idmrpt_ext_idv_item.item_desc“ zugeordnet. Falls Sie keine Schemazuordnungsrichtlinie hinzufügen, werden die Attribute in die Untertabelle „idmrpt_ext_item_attr“ eingetragen.

Beispiel:

<attr-name class-name="Device"> 
<nds-name>CN</nds-name> 
<app-name>_dcsName</app-name> 
</attr-name> 
<attr-name class-name="Device"> 
<nds-name>Description</nds-name> 
<app-name>_dcsDescription</app-name> 
</attr-name>

Im folgenden SQL-Beispiel werden die Objekt- und Attributwerte in der Datenbank aufgeführt:

SELECT        
    item.item_dn, 
    item.item_name, 
    item.item_desc, 
    attr.attribute_name, 
    itemAttr.attribute_value, 
    item.idmrpt_deleted as item_deleted, 
    itemAttr.idmrpt_deleted as attr_deleted, 
    item.item_desc, 
    obj.object_class 
FROM 
    idm_rpt_data.idmrpt_ext_idv_item as item, idm_rpt_data.idmrpt_ext_item_attr itemAttr, idm_rpt_data.idmrpt_ext_attr as attr, idm_rpt_data.idmrpt_ext_obj as obj 
WHERE 
    item.object_id = obj.object_id and itemAttr.attribute_id = attr.attribute_id and itemAttr.cat_item_id = item.item_id 
ORDER BY 
    item.item_dn, item.item_name

Hinzufügen von erweiterten Attributen zu bekannten Objekttypen

Wenn Sie ein Attribut in die Filterrichtlinie des DCS-Treibers aufnehmen und nicht explizit der Berichterstellungsdatenbank in der XML-Verweisdatei (IdmrptIdentity.xml) zuordnen, wird der Wert in die Tabelle „idmrpt_ext_item_attr table“ und der Attributverweis in die Tabelle „idmrpt_ext_attr“ eingetragen und dort verwaltet.

Das folgende SQL-Beispiel zeigt diese erweiterten Attribute:

SELECT 
    acct.idv_acct_dn, 
    attrDef.attribute_name,   
    attribute_value, 
    attrVal.idmrpt_valid_from, 
    cat_item_attr_id, 
    attrVal.idmrpt_deleted, 
    attrVal.idmrpt_syn_state 
FROM 
    idm_rpt_data.idmrpt_ext_item_attr as attrVal, idm_rpt_data.idmrpt_ext_attr as attrDef, idm_rpt_data.idmrpt_identity as idd, idm_rpt_data.idmrpt_idv_acct as acct 
WHERE attrVal.attribute_id = attrDef.attribute_id and idd.identity_id = acct.identity_id and attrVal.cat_item_id = acct.identity_id and cat_item_type_id = 'IDENTITY'

Neben dem Benutzerobjekt können Sie erweiterte Attribute zu den folgenden Objekten in die Filterrichtlinie aufnehmen und in die Datenbank eintragen:

  • nrfRole

  • nrfResource

  • Container

    HINWEIS:Das installierte Produkt unterstützt Organisationseinheiten, Organisationen und Domänen. Die Containertypen werden in der Tabelle „idmrpt_container_types table“ verwaltet.

  • Gruppe

  • nrfSod

Die Verknüpfung der erweiterten Attribute zur übergeordneten Tabelle oder zum übergeordneten Objekt ist in der Spalte „idmrpt_cat_item_types.idmrpt_table_name“ ersichtlich. Diese Spalte beschreibt, wie die Spalte „idm_rpt_data.idmrpt_ext_item_attr.cat_item_id“ mit dem primären Schlüssel der übergeordneten Tabelle verbunden werden soll.

4.6.4 Zusätzliche Unterstützung für mehrere Treibersätze

Das neue Paket für die DCS-Bereichsdefinition (NOVLDCSSCPNG) bietet statische und dynamische Bereichsdefinitionsfunktionen für Enterprise-Umgebungen mit mehreren Treibersätzen und mehreren DCS-/MSGW-Treiberpaaren.

Während oder nach der Installation müssen Sie die Rolle des DCS-Treibers festlegen, auf dem das Paket installiert wird. Wählen Sie eine der folgenden Rollen aus:

  • Primär Der Treiber synchronisiert alle Elemente (ausgenommen Teilbäume anderer Treibersätze). Ein primärer DCS-Treiber kann durchaus ein ganzes Identitätsdepot pflegen oder auch mit einem oder mehreren sekundären Treibern zusammenarbeiten.

  • Sekundär Der Treiber synchronisiert ausschließlich den jeweils eigenen Treibersatz (und keine weiteren Elemente). Für einen sekundären DCS-Treiber muss in der Regel ein primärer Treiber in einem anderen Treibersatz ausgeführt werden, da ansonsten keine Daten, die sich außerhalb des lokalen Treibersatzes befinden, an den Datenerfassungsdienst gesendet werden.

  • Benutzerdefiniert Hiermit ist der Administrator in der Lage, benutzerdefinierte Scoping-Regeln zu definieren. Der lokale Treibersatz bildet den einzigen impliziten Bereich. Alle anderen Elemente werden als außerhalb des Bereichs betrachtet, sofern sie nicht explizit zur Liste der benutzerdefinierten Bereiche hinzugefügt werden. Ein benutzerdefinierter Bereich ist der eindeutige Name (mit Schrägstrichen) eines Containers im Identitätsdepot, dessen untergeordnete Einheiten oder dessen Teilbaum synchronisiert werden sollen.

Das Scoping-Paket ist nur in bestimmten Konfigurationsszenarien erforderlich:

  • Einzelner Server und Identitätsdepot mit einzelnem Treibersatz: In diesem Szenario ist kein Scoping erforderlich, und Sie müssen das Scoping-Paket nicht installieren.

  • Mehrere Server und Identitätsdepot mit einzelnem Treibersatz: In diesem Szenario ist Folgendes zu beachten:

    • Auf dem Identity Manager-Server müssen sich Reproduktionen aller Partitionen befinden, von denen Daten erfasst werden sollen.

    • In diesem Szenario ist kein Scoping erforderlich. Installieren Sie daher nicht das Scoping-Paket.

  • Mehrere Server und Identitätsdepot mit mehreren Treibersätzen: In diesem Szenario gelten zwei grundlegende Konfigurationen:

    • Auf allen Servern befinden sich Reproduktionen aller Partitionen, von denen Daten erfasst werden sollen.

      Bei dieser Konfiguration ist Folgendes zu beachten:

      • Das Scoping ist erforderlich, damit eine Änderung nicht von mehreren DCS-Treibern verarbeitet wird.

      • Sie müssen das Scoping-Paket auf allen DCS-Treibern installieren.

      • Ein DCS-Treiber muss als primärer Treiber festgelegt werden.

      • Alle anderen DCS-Treiber müssen als sekundäre Treiber konfiguriert werden.

    • Nicht auf allen Servern befinden sich Reproduktionen aller Partitionen, von denen Daten erfasst werden sollen.

      Bei dieser Konfiguration sind zwei Situationen möglich:

      • Alle Partitionen, von denen Daten erfasst werden sollen, befinden sich auf einem einzigen Identity Manager-Server.

        In diesem Fall ist Folgendes zu beachten:

        • Das Scoping ist erforderlich, damit eine Änderung nicht von mehreren DCS-Treibern verarbeitet wird.

        • Sie müssen das Scoping-Paket auf allen DCS-Treibern installieren.

        • Alle DCS-Treiber müssen als primäre Treiber konfiguriert werden.

      • Die Partitionen, von denen Daten erfasst werden sollen, befinden sich nicht allesamt auf einem einzigen Identity Manager-Server. (Einige Partitionen gehören zu mehreren Identity Manager-Servern.)

        In diesem Fall ist Folgendes zu beachten:

        • Das Scoping ist erforderlich, damit eine Änderung nicht von mehreren DCS-Treibern verarbeitet wird.

        • Sie müssen das Scoping-Paket auf allen DCS-Treibern installieren.

        • Alle DCS-Treiber müssen als benutzerdefinierte Treiber konfiguriert werden.

          Für jeden Treiber müssen benutzerdefinierte Scoping-Regeln definiert werden, wobei sich die Bereiche nicht überschneiden dürfen.

4.6.5 Konfigurieren der Treiber für die Ausführung im Remote-Modus mit SSL

Beim Ausführen im Remote-Modus können Sie den DCS- und den MSGW-Treiber für die Verwendung von SSL konfigurieren. In diesem Abschnitt finden Sie die Schritte zum Konfigurieren der Treiber für die Ausführung im Remote-Modus mit SSL.

So konfigurieren Sie SSL mit einem Keystore für den MSGW-Treiber:

  1. Erstellen Sie ein Serverzertifikat in iManager.

    1. Klicken Sie in der Ansicht Rollen und Aufgaben auf NetIQ Certificate Server > Serverzertifikat erstellen.

    2. Navigieren Sie zum Serverobjekt, in dem der MSGW-Treiber installiert ist, und wählen Sie das Objekt aus.

    3. Geben Sie einen Kurznamen für das Zertifikat an.

    4. Wählen Sie für die Erstellungsmethode die Option Standard, und klicken Sie auf Weiter.

    5. Klicken Sie auf Fertig stellen und dann auf Schließen.

  2. Exportieren Sie das Serverzertifikat mit iManager.

    1. Klicken Sie in der Ansicht Rollen und Aufgaben auf NetIQ Certificate Server > Serverzertifikate.

    2. Wählen Sie das Zertifikat aus, das Sie in Schritt 1 erstellt haben, und klicken Sie auf Exportieren.

    3. Wählen Sie im Menü Zertifikate den Namen Ihres Zertifikats.

    4. Die Option Privaten Schlüssel exportieren muss aktiviert sein.

    5. Geben Sie ein Passwort ein, und klicken Sie auf Weiter.

    6. Klicken Sie auf Exportiertes Zertifikat speichern, und speichern Sie das exportierte pfx-Zertifikat.

  3. Importieren Sie das pfx-Zertifikat, das Sie in Schritt 2 erstellt haben, in den Java-Keystore.

    1. Verwenden Sie das Keytool in Java. Sie müssen JDK 6 oder höher verwenden.

    2. Geben Sie an einer Eingabeaufforderung den folgenden Befehl ein:

      keytool -importkeystore -srckeystore pfx certificate -srcstoretype
PKCS12 -destkeystore Keystore Name

      Beispiel:

      keytool -importkeystore -srckeystore cert.pfx -srcstoretype PKCS12
-destkeystore msgw.jks

    3. Geben Sie das Passwort ein, wenn Sie dazu aufgefordert werden.

  4. Bearbeiten Sie die MSGW-Konfiguration so mit iManager, dass der Keystore verwendet werden.

    1. Klicken Sie unter Identity Manager-Überblick auf den Treibersatz, in dem sich der MSGW-Treiber befindet.

    2. Klicken Sie auf das Symbol für den Treiberstatus, und wählen Sie Eigenschaften bearbeiten > Treiberkonfiguration.

    3. Stellen Sie Verbindungsparameter anzeigen auf „Wahr“ ein, und wählen Sie unter Treiberkonfigurationsmodus die Option „Remote“.

    4. Geben Sie den vollständigen Pfad zur Keystore-Datei sowie das Passwort ein.

    5. Speichern Sie den Treiber, und starten Sie ihn neu.

  5. Bearbeiten Sie die DCS-Konfiguration so mit iManager, dass der Keystore verwendet werden.

    1. Klicken Sie unter Identity Manager-Überblick auf den Treibersatz, in dem sich der MSGW-Treiber befindet.

    2. Klicken Sie auf das Symbol für den Treiberstatus, und wählen Sie Eigenschaften bearbeiten > Treiberkonfiguration.

    3. Wählen Sie unter Registrierung des Managed System Gateway für Konfigurationsmodus des MSGW-Treibers die Option „Remote“.

    4. Geben Sie den vollständigen Pfad zur Keystore-Datei, das Passwort und das Alias aus Schritt 1.c ein.

    5. Speichern Sie den Treiber, und starten Sie ihn neu.