21.2 Installationsvorgang

In diesem Abschnitt finden Sie schrittweise Anleitungen zum Installieren einer neuen Instanz der Identitätsanwendungen auf Tomcat und der anschließenden Konfiguration für ein Clustering.

Installieren Sie die Identity Manager-Engine. Schrittweise Anleitungen finden Sie unter Installationsverfahren. Für eine Bereitstellung auf Produktionsebene empfiehlt es sich, die Identity Manager-Engine auf einem separaten Server zu installieren.
Erstellen Sie die folgenden Treiber und stellen Sie sie für die Identitätsanwendungen bereit:
- Benutzeranwendungstreiber
- Rollen- und Ressourcenservice-Treiber
Installieren Sie die folgenden Identity Manager-Komponenten auf Knoten1:
1. Benutzeranwendung
  
  Konfigurieren Sie die folgenden Einstellungen während des Installationsvorgangs:
  1. Wählen Sie Tomcat als Anwendungsserver aus.
  2. Wählen Sie PostgreSQL als Datenbankplattform aus.
    
    HINWEIS:Es ist möglich, eine der von Identity Manager 4.8 unterstützten Datenbanken zu verwenden.
  3. Geben Sie die erforderlichen Datenbankdetails auf den folgenden Seiten an.
  4. Kopieren Sie die JAR-Datei mit dem Datenbanktreiber (postgresql-9.4.1212-.jar) vom PostgreSQL-Server auf alle Benutzeranwendungsknoten im Cluster.
    
    HINWEIS:Wenn Sie andere von Identity Manager 4.8 unterstützte Datenbanken wie Oracle oder SQL Server verwenden, müssen Sie die entsprechenden JAR-Dateien mit dem Treiber vom Server, auf dem die Datenbank installiert ist, auf alle Benutzeranwendungsknoten im Cluster kopieren. Weitere Informationen finden Sie unter Konfigurieren der Datenbank für die Identitätsanwendungen.
  5. Suchen Sie die kopierte JAR-Datei mit dem Datenbanktreiber und wählen Sie sie aus.
  6. Wählen Sie in den Details der Seite "Neue Datenbank" oder "Vorhandene Datenbank" die Option Neue Datenbank aus.
  7. Geben Sie auf der Seite "Identity Manager-Konfiguration" einen eindeutigen Namen im Feld Workflow-Engine-ID an. Beispiel: Der eindeutige Name kann Engine1 für Knoten1 lauten.
  8. Wählen Sie auf der Seite "Sicherheit – Master-Schlüssel die Option Nein aus, um einen neuen Master-Schlüssel zu erstellen.
    
    Die Identitätsanwendungen verschlüsseln vertrauliche Daten mit einem Master-Schlüssel. Da es sich hierbei um die erste Instanz der Identitätsanwendungen in einem Cluster handelt, müssen Sie das Installationsprogramm anweisen, einen neuen Master-Schlüssel zu erstellen. Wählen Sie hierzu Nein aus. In einem Cluster muss für das Benutzeranwendungs-Clustering jede Instanz der Benutzeranwendung denselben Master-Schlüssel verwenden. Wählen Sie während der Konfiguration dieser Instanzen die Option Ja aus. Dadurch wird der vorhandene Schlüssel importiert und es wird immer derselbe Master-Schlüssel verwendet.
Führen Sie in Knoten2 die folgenden Schritte durch:
1. Installieren Sie Tomcat mit einem Installationsprogramm Ihrer Wahl (wählen Sie während des Installationsvorgangs nur Tomcat aus).
2. Installieren Sie OSP.
  
  Geben Sie während des Installationsvorgangs die IP-Adresse und Portnummer des Identity Manager-Engine(eDirectory)-Servers auf der Seite mit den Authentifizierungsdetails an.
3. Installieren Sie die Benutzeranwendung.
  
  Konfigurieren Sie die folgenden Einstellungen während des Installationsvorgangs:
  1. Wählen Sie Tomcat als Anwendungsserver aus.
  2. Wählen Sie PostgreSQL als Datenbankplattform aus.
    
    HINWEIS:Es ist möglich, eine der von Identity Manager 4.8 unterstützten Datenbanken zu verwenden.
  3. Geben Sie auf den folgenden Seiten während des Installationsvorgangs die erforderlichen Datenbankdetails an.
  4. Kopieren Sie die JAR-Datei mit dem Datenbanktreiber (postgresql-9.4.1212-.jar) vom PostgreSQL-Server zu Knoten2.
    
    HINWEIS:Wenn Sie eine andere von Identity Manager 4.8 unterstützte Datenbank wie Oracle oder SQL Server verwenden, müssen Sie die entsprechenden JAR-Dateien mit dem Treiber vom Server, auf der die Datenbank installiert ist, auf alle Benutzeranwendungsknoten im Cluster kopieren.
  5. Suchen Sie die kopierte JAR-Datei mit dem Datenbanktreiber und wählen Sie sie aus.
  6. Wählen Sie in den Details der Seite "Neue Datenbank" oder "Vorhandene Datenbank" die Option Vorhandene Datenbank aus.
  7. Geben Sie auf der Seite "Identity Manager-Konfiguration" einen eindeutigen Namen im Feld Workflow-Engine-ID an. Beispiel: Der eindeutige Name kann Engine2 für Knoten2 lauten.
  8. Wählen Sie zum Erstellen eines neuen Master-Schlüssels auf der Seite "Sicherheit – Master-Schlüssel" die Option Ja aus.
    
    Für das Benutzeranwendungs-Clustering muss jede Instanz der Benutzeranwendung denselben Master-Schlüssel verwenden. Wählen Sie die Option Ja aus. Dadurch wird der vorhandene Schlüssel importiert und es wird immer derselbe Master-Schlüssel verwendet. Dieser Schlüssel wird erstellt, wenn Sie die erste Instanz der Benutzeranwendung in Knoten1 installiert haben.
    
    Den Masterschlüssel erhalten Sie in der Datei „ism-configuration properties“, die sich unter C:\NetIQ\IDM\apps\tomcat\conf in Knoten1 befindet. Der Parameter mit dem Master-Schlüssel lautet com.novell.idm.masterkey.
  9. Klicken Sie auf Installieren, um die Installation abzuschließen.
HINWEIS:Detaillierte Informationen zum Installieren von Identity Applications finden Sie unter Installationsverfahren.
Starten Sie auf dem Load Balancer-Server eine Instanz von Load Balancer mit der Portnummer der Identitätsanwendungen und eine weitere Instanz von Load Balancer mit der Portnummer des Formular-Renderers für alle Cluster-Knoten. Beispiel:
- ./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543
- ./balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600
Installieren Sie SSPR auf einem separaten Computer.

Notieren Sie sich vor der Installation die folgenden Einstellungen und geben Sie diese während des Installationsvorgangs an:
1. Installieren Sie Tomcat. Installationsanleitungen finden Sie in Schritt 4a.
2. Installieren Sie SSPR.
  
  Führen Sie während der SSPR-Installation die folgenden Schritte durch:
  1. Wählen Sie auf der Seite "Anwendungsserver-Verbindung" die Option Connect to external authentication server (Mit externem Authentifizierungsserver verbinden) und geben Sie den DNS-Namen des Servers an, auf dem das Lastausgleichprogramm installiert ist.
  2. Geben Sie auf der Seite "Authentifizierungsdetails" die IP-Adresse und den Port des Identity Manager-Engine-Servers an. Das Passwort für die Zertifikate der Zertifizierungsstelle lautet changeit.
3. Wenn die Installation abgeschlossen ist, starten Sie SSPR (https://<IP>:<Port>/sspr/private/config/ConfigEditor) und melden Sie sich an. Klicken Sie auf Konfigurationseditor > Einstellungen > Sicherheit > Whitelist-URL für die Umleitung.
  1. Klicken Sie auf Wert hinzufügen und geben Sie die folgende URL an:
    
    https:<DNS_für_Failover><port>/osp
  2. Speichern Sie die Änderungen.
  3. Klicken Sie auf der Seite "SSPR-Konfiguration" auf Einstellungen > OAuth-SSO und bearbeiten Sie die OSP-Links; ersetzen Sie dazu die IP-Adressen durch den DNS-Namen des Servers, auf dem die Lastausgleichsoftware installiert ist.
  4. Klicken Sie auf Einstellungen > Anwendung und aktualisieren Sie die Weiterleitungs- und Abmeldungs-URLs; ersetzen Sie dazu die IP-Adressen durch den DNS-Namen des Servers, auf dem die Lastausgleichsoftware installiert ist.
4. Starten Sie zur Aktualisierung der SSPR-Informationen auf Knoten1 das Konfigurationsprogramm unter C:\NetIQ\idm\apps\UserApplication\configupdate.bat.
  
  Klicken Sie im Fenster, das sich nun öffnet, auf SSO-Clients > Self Service Password Reset und geben Sie die Werte für die Parameter Client-ID, Passwort und OSP Auth redirect URL (URL zur Umleitung der OSP-Authentifizierung) ein.
HINWEIS:Vergewissern Sie sich, dass die Werte für diese Parameter in Knoten2 aktualisiert werden.
Führen Sie die folgenden Konfigurationsaufgaben in den Clusterknoten durch:
1. Starten Sie Tomcat in allen Clusterknoten neu.
2. Weitere Informationen zum Link „Passwort ändern“ finden Sie in Aktualisieren der SSPR-Links im Dashboard für eine dezentrale Umgebung oder eine Cluster-Umgebung.
3. Überprüfen Sie, ob die Links „Passwort vergessen“ und „Passwort ändern“ mit der SSPR-IP-Adresse in Knoten2 aktualisiert sind.
  
  HINWEIS:Wenn die Links „Passwort vergessen“ und „Passwort ändern“ bereits mit der SSPR-IP-Adresse aktualisiert sind, brauchen Sie keine Änderungen vorzunehmen.
Stoppen Sie Tomcat in Knoten1 und generieren Sie eine neue osp.jks-Datei. Geben Sie dazu den DNS-Namen des Lastausgleichservers an und führen Sie den folgenden Befehl aus:

C:\NetIQ\Common\JRE\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <Passwort> -keypass <Passwort> -alias osp -validity 1800 -dname "cn=<IP/DNS_des_Lastausgleichprogramms>"

Beispiel: C:NetIQ\idm\apps\jre\bin\ -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

HINWEIS:Das Schlüsselpasswort muss dasselbe sein wie das während der OSP-Installation angegebene Passwort. Alternativ kann dies auch mit dem Konfigurationsaktualisierungsprogramm und dem Keystore-Passwort geändert werden.
(Bedingt) Führen Sie folgenden Befehl aus, um zu überprüfen, ob die osp.jks-Datei mit den Änderungen aktualisiert wurde:

C:\NetIQ\Common\JRE\bin\keytool -list -v -keystore osp.jks -storepass changeit
Sichern Sie die ursprüngliche osp.jks-Datei, die sich unter C:\NetIQ\idm\apps\osp befindet, und kopieren Sie die neue osp.jks-Datei an diesen Speicherort. Die neue osp.jks-Datei wurde in Schritt 8 erstellt.
Kopieren Sie die neue osp.jks-Datei in Knoten1 in alle anderen Benutzeranwendungsknoten im Cluster.

Für jeden Knoten im Cluster:

Navigieren Sie zum Verzeichnis C:\netiq\idm\apps\sites und bearbeiten Sie die Datei ServiceRegistry.json, um Details für Load Balancer hinzuzufügen.
```
{"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]} 
```

Navigieren Sie zum Verzeichnis C:\netiq\idm\apps\sites\ und bearbeiten Sie die Datei config.ini, um DNS und Portnummer für das Lastausgleichprogramm hinzuzufügen.

OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2
OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html
ClientID=forms
OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout

Starten Sie das Konfigurationsprogramm in Knoten1 und ändern Sie alle URL-Einstellungen wie den URL-Link zur Landeseite und die OAuth-Umleitungs-URL zum DNS-Namen des Lastausgleichprogramms auf der Registerkarte „SSO-Client“.
1. Speichern Sie die Änderungen im Konfigurationsprogramm. Überprüfen Sie die Datei ism-configuration properties auf Änderungen und ändern Sie sie, falls URLs immer noch auf den DNS und Port von Knoten 1 zeigen.
2. Um diese Änderung widerzuspiegeln, kopieren Sie die Datei ism-configuration properties unter C:\NetIQ\IDM\apps\tomcat\conf von Knoten1 in alle anderen Benutzeranwendungsknoten im Cluster.
  
  HINWEIS:Sie haben die Datei ism.properties von Knoten1 in alle anderen Knoten im Cluster kopiert. Wenn Sie bei der Installation der Benutzeranwendung Pfade angegeben haben, müssen Sie dafür sorgen, dass die entsprechenden Pfade korrigiert werden; verwenden Sie dazu das Konfigurationsaktualisierungsprogramm in den Clusterknoten.
  
  In diesem Szenario sind OSP und die Benutzeranwendung auf demselben Server installiert; daher wird für die Umleitungs-URLs derselbe DNS-Name verwendet.
  
  Wenn OSP und Benutzeranwendung auf verschiedenen Servern installiert sind, müssen Sie die OSP-URLs zu einem anderen DNS-Namen ändern, der auf das Lastausgleichprogramm verweist. Wiederholen Sie dies für alle Server, auf denen OSP installiert ist. Dadurch werden alle OSP-Anforderungen über das Lastausgleichprogramm an den DNS-Namen des OSP-Clusters zugestellt. Dazu muss für OSP-Knoten ein separater Cluster vorhanden sein.
Führen Sie die folgenden Schritte in der Datei setenv.sh im Verzeichnis /TOMCAT_INSTALLED_HOME/bin/ durch:
1. Für ein erfolgreiches mcast_addr-Binding muss für JGroups die Eigenschaft preferIPv4Stack auf true festgelegt sein. Fügen Sie dazu die JVM-Eigenschaft "-Djava.net.preferIPv4Stack=true” in Datei setenv.sh in allen Knoten hinzu.
2. Fügen Sie "-Dcom.novell.afw.wf.Engine-id=Engine1" in Knoten1 der setenv.sh-Datei hinzu. Fügen Sie entsprechend einen eindeutigen Engine-Namen für jeden Knoten im Cluster hinzu. Beispiel: Für Knoten2 fügen Sie den Engine-Namen als Engine2 hinzu.
Aktivieren Sie das Clustering in der Benutzeranwendung.
1. Starten Sie Tomcat in Knoten1.
  
  Starten Sie keine anderen Server.
2. Melden Sie sich bei der Benutzeranwendung als Administrator der Benutzeranwendung an.
3. Klicken Sie auf Konfiguration > Caching und Cluster.
  
  Die Benutzeranwendung zeigt die Seite „Cache-Management“ an.
4. Klicken Sie auf Cluster-Cache-Konfiguration und wählen Sie für die Eigenschaft Clusterfähig die Option Wahr aus.
5. Klicken Sie auf Speichern.
6. Starten Sie Tomcat neu.
HINWEIS:Wenn Sie "Lokale Einstellungen aktivieren" ausgewählt haben, wiederholen Sie diesen Vorgang für jeden Server im Cluster.

Der Benutzeranwendungscluster verwendet JGroups für die Cache-Synchronisierung in allen Knoten mit der Standard UDP. Falls Sie lieber TCP anstatt dieses Protokolls verwenden möchten, finden Sie die entsprechenden Anleitungen unter Konfigurieren der Benutzeranwendung zur Verwendung von TCP.
Aktivieren Sie den Berechtigungsindex für das Clustering. Weitere Informationen hierzu finden Sie im Aktivieren des Berechtigungsindex für das Clustering.
Aktivieren Sie den Tomcat-Cluster.

Öffnen Sie die Tomcat server.xml -Datei unter /TOMCAT_INSTALLED_HOME/conf/ und kommentieren Sie diese Zeile in dieser Datei in allen Clusterknoten aus:

<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

Zur erweiterten Tomcat-Clusterkonfiguration beachten Sie die Schritte auf der Dokumentationswebsite zu Apache .
Starten Sie Tomcat in allen Knoten neu.
Konfigurieren Sie den Benutzeranwendungstreiber für das Clustering.

In einer geclusterten Umgebung wird ein einzelner Benutzeranwendungstreiber mit mehreren Instanzen der Benutzeranwendung verwendet. Der Treiber speichert verschiedene anwendungsspezifische Informationen (z. B. die Workflow-Konfiguration und Clusterinformationen). Sie müssen den Treiber so konfigurieren, dass er den Hostnamen oder die IP-Adresse des Dispatchers oder Lastausgleichprogramms für den Cluster verwendet.
1. Melden Sie sich bei der Instanz von iManager an, die Ihr Identitätsdepot verwaltet.
2. Wählen Sie im Navigationsrahmen die Option Identity Manager aus.
3. Wählen Sie Identity Manager-Überblick.
4. Verwenden Sie die Suche-Seite, um den Identity Manager-Überblick für den Treibersatz anzuzeigen, der Ihren Benutzeranwendungstreiber enthält.
5. Klicken Sie auf den runden Statusindikator in der rechten oberen Ecke des Treibersymbols.
6. Wählen Sie Eigenschaften bearbeiten aus.
7. Ändern Sie unter Treiberparameter den Host zum Hostnamen oder zur IP-Adresse des Lastausgleichprogramms.
8. Klicken Sie auf OK.
9. Starten Sie den Treiber neu.
Wiederholen Sie zum Ändern der URL des Rollen- und Ressourcenservice-Treibers die Schritte 19a bis 19f und klicken Sie auf Treiberkonfiguration. Aktualisieren Sie die Benutzeranwendungs-URL mit dem DNS-Namen des Lastausgleichprogramms.
Vergewissern Sie sich, dass die Sitzungstreue für den Cluster aktiviert ist, der in der Lastausgleichsoftware für die Benutzeranwendungsknoten erstellt wurde.

Die meisten Lastausgleichprogramme bieten eine Funktion zur Zustandsprüfung, um herauszufinden, ob ein HTTP-Server aktiv ist und die Überwachung durchführt. Die Benutzeranwendung enthält eine URL, die zum Konfigurieren des HTTP-Server-Zustands auf Ihrem Lastausgleichprogramm verwendet wird. Die URL lautet:

http://<Knoten-IP>:port/IDMProv/jsps/healthcheck.jsp