11.3 Aufrüsten von Identity Applications

In diesem Abschnitt finden Sie Informationen zur Aufrüstung der Identitätsanwendungen und unterstützenden Software, wozu die Aktualisierung der folgenden Komponenten gehört:

  • Identity Manager-Benutzeranwendung

  • One SSO Provider (OSP)

  • Self-Service Password Reset (SSPR)

  • Tomcat, JDK und ActiveMQ

Nach der Aufrüstung sind folgende Komponentenversionen installiert:

  • Tomcat – 8.5.40

  • ActiveMQ – 5.15.9

  • Java 8 Update 222

  • One SSO-Anbieter – 6.3.4

  • Self-Service-Funktionen für die Passwortrücksetzung – 4.4.0.3

  • Identitätsanwendungen – 4.8

  • Identity Reporting – 6.5

Dieser Abschnitt enthält Informationen zu folgenden Themen:

11.3.1 Erläuterungen zum Aufrüstungsprogramm

Im Rahmen des Aufrüstungsvorgangs werden die Konfigurationswerte der vorhandenen Komponenten gelesen. Hierzu gehören die Dateien ism-configuration.properties, server.xml, SSPRConfiguration.xml und weitere Konfigurationsdateien. Beim Aufrufen dieser Konfigurationsdateien wird intern das Aufrüstungsprogramm für die zugehörigen Komponenten gestartet. Darüber hinaus erstellt dieses Programm eine Sicherung der aktuellen Installation.

11.3.2 Voraussetzungen für die Aufrüstung

Wenn Ihre Datenbank über SSL konfiguriert ist, ersetzen Sie in der Datei server.xml, die sich im Pfad C:\NetIQ\idm\apps\tomcat\conf befindet, ssl=true durch sslmode=require.

Ändern Sie beispielsweise

jdbc:postgresql://<postgres db>:5432/idmuserappdb?ssl=true

in

jdbc:postgresql://<postgres db>:5432/idmuserappdb?sslmode=require

11.3.3 Systemanforderungen

Im Rahmen des Aufrüstungsvorgangs wird eine Sicherung der aktuellen Konfiguration für die installierten Komponenten erstellt. Auf Ihrem Server muss ausreichend freier Speicherplatz für die Sicherung vorhanden sein sowie weiterer freier Speicherplatz für die Aufrüstung.

11.3.4 Aufrüsten der PostgreSQL-Datenbank

WICHTIG:Die Aufrüstung kann je nach Größe der Datenbank einige Zeit in Anspruch nehmen. Planen Sie die Aufrüstung daher entsprechend.

  1. Halten Sie den PostgreSQL-Dienst an, der auf dem Server ausgeführt wird.

  2. Benennen Sie das Verzeichnis postgres unter C:\Netiq\idm\apps um.

    Benennen Sie postgres beispielsweise in postgresql_old um.

  3. Entfernen Sie den alten Dienst, indem Sie den folgenden Befehl ausführen:

    sc delete <postgres-Dienstname>

  4. Installieren Sie eine von Ihrem Betriebssystem unterstützte PostgreSQL-Version.

    Sie müssen einen Speicherort auswählen, der nicht dem aktuellen Installationsort von PostgreSQL entspricht.

    1. Stellen Sie die Image-Datei Identity_Manager_4.8_Windows.iso bereit und navigieren Sie zum Verzeichnis \common\postgres_tomcat.

    2. Führen Sie die Datei TomcatPostgreSQL.exe aus.

      Wählen Sie für die Installation nur die Option PostgreSQL aus.

    HINWEIS:

    • Geben Sie auf der Seite PostgreSQL-Details keine Datenbankinformationen an. Stellen Sie sicher, dass die Optionen Datenbankanmeldekonto erstellen und Leere Datenbank erstellen ausgewählt wurden.

    • Stellen Sie sicher, dass Sie über Administratorberechtigungen für das alte und neue PostgreSQL -Installationsverzeichnis verfügen.

  5. Halten Sie den neu installierten PostgreSQL-Dienst an. Navigieren Sie zu Services, suchen Sie nach dem Service <PostgreSQL-Versionsnummer> und stoppen Sie den Service.

    HINWEIS:Benutzer mit entsprechenden Rechten können Dienste nach entsprechender Authentifizierung anhalten.

  6. Ändern Sie die Rechte für das neu erstellte PostgreSQL-Verzeichnis wie folgt:

    Erstellen Sie einen postgres-Benutzer:

    1. Navigieren Sie zu Systemsteuerung > Benutzerkonten > Benutzerkonten > Konten verwalten.

    2. Klicken Sie auf Benutzerkonto hinzufügen.

    3. Geben Sie auf der Seite für das Hinzufügen von Benutzern postgres als Benutzernamen an und legen Sie ein Passwort fest.

    Weisen Sie dem Benutzer postgres Rechte für die bestehenden und neuen PostgreSQL-Verzeichnisse zu:

    1. Klicken Sie mit der rechten Maustaste auf das PostgreSQL-Verzeichnis und navigieren Sie zu Eigenschaften > Sicherheit > Bearbeiten.

    2. Wählen Sie Vollzugriff für den Benutzer aus, um uneingeschränkte Rechte bereitzustellen.

    3. Klicken Sie auf Anwenden.

  7. Greifen Sie als Benutzer postgres auf das PostgreSQL-Verzeichnis zu.

    1. Melden Sie sich als postgres-Benutzer am Server an.

      Stellen Sie vor der Anmeldung sicher, dass postgres sich mit dem Windows-Server verbinden kann, indem Sie prüfen, ob der Benutzer Remote-Verbindungen vornehmen darf.

    2. Löschen Sie das Datenverzeichnis aus dem neuen Postgres-Installationsverzeichnis. Beispiel: C:\NetIQ\idm\apps\postgres\data

    3. Öffnen Sie eine Eingabeaufforderung und legen Sie mithilfe des folgenden Befehls PGPASSWORD fest:

      set PGPASSWORD=<your pg password>

    4. Wechseln Sie zum neu erstellten PostgreSQL-Verzeichnis.

    5. Führen Sie initdb als postgres-Datenbankbenutzer aus.

      initdb.exe -D <new_data_directory> -E UTF8 -U postgres

      Beispiel:

      initdb.exe -D C:\NetIQ\idm\apps\postgres\data -E UTF8 -U postgres

  8. Führen Sie über das neue PostgreSQL-bin-Verzeichnis die PostgreSQL-Aufrüstung durch. Führen Sie den folgenden Befehl aus und klicken Sie auf Eingabe.

    HINWEIS:Stellen Sie sicher, dass Sie den Methode-Typ in pg_hba.conf im Verzeichnis C:\NetIQ\idm\apps\postgres\data\ von md5 in trust ändern.

    pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"

  9. Ersetzen Sie nach einem erfolgreichen Upgrade die Dateien pg_hba.conf und postgresql.conf im neuen Postgres-Datenverzeichnis (C:\NetIQ\idm\apps\postgres\data) durch die Dateien aus dem alten Postgres-Verzeichnis.

  10. Starten Sie den aufgerüsteten PostgreSQL-Datenbankdienst.

    Navigieren Sie zu Services, suchen Sie nach dem Service <PostgreSQL-Versionsnummer> und starten Sie den Service.

    HINWEIS:Benutzer mit entsprechenden Rechten können Dienste nach einer Authentifizierung starten.

  11. Deaktivieren Sie den alten PostgreSQL-Dienst, um sicherzustellen, dass er nicht automatisch startet.

  12. (Optional) Löschen Sie aus dem bin-Verzeichnis des neu installierten PostgreSQL-Dienstes alte Datendateien.

    1. Melden Sie sich als Benutzer postgres an.

    2. Navigieren Sie zum bin-Verzeichnis und führen Sie die Dateien analyze_new_cluster.bat und delete_old_cluster.bat aus.

      Beispiel: C:\NetIQ\idm\apps\postgresql\bin

    HINWEIS:Diesen Schritt müssen Sie nur durchführen, wenn Sie alte Datendateien löschen möchten.

11.3.5 Upgrade der Treiberpakete für Identity Applications

Sie müssen Tomcat beenden und die Pakete für den Benutzeranwendungstreiber und den Rollen- und Ressourcenservice-Treiber auf die neueste Version aktualisieren. Informationen zum Upgrade der Pakete auf die aktuelle Version finden Sie unter Upgrade der installierten Pakete im Administrationshandbuch zu NetIQ Designer für Identity Manager.

Nach dem Upgrade der Treiberpakete für die Benutzeranwendung müssen Sie das Paket mit den Workflow-Vorlagen manuell hinzufügen:

  1. Navigieren Sie in Designer zu Benutzeranwendungstreiber > Eigenschaften.

  2. Klicken Sie auf „Pakete“ und dann auf .

  3. Wählen Sie Workflow-Vorlagen erstellen aus.

  4. Klicken Sie auf OK und dann auf Fertig stellen, um die Installation abzuschließen.

  5. Stellen Sie den Benutzeranwendungstreiber bereit.

WICHTIG:Wenn eine Vorlage für E-Mail-Benachrichtigungen installiert ist oder im Rahmen des Upgrades des Benutzeranwendungstreibers aktualisiert wird, müssen Sie das Objekt Standard-Benachrichtigungssammlung bereitstellen.

11.3.6 Aufrüsten von Identity Applications

Im folgenden Vorgang wird die Vorgehensweise zur Aufrüstung der folgenden Komponenten beschrieben:

  • Identity Applications

  • OSP

  • Tomcat

  • PostgreSQL

  • SSPR (falls auf demselben Computer installiert wie Identity Applications)

  • ActiveMQ

Führen Sie zum Aufrüsten von Identity Applications die folgenden Schritte aus:

  1. Laden Sie die Datei Identity_Manager_4.8_Windows.iso von der NetIQ Downloads-Website herunter.

  2. Stellen Sie die heruntergeladene .iso-Datei bereit.

  3. Navigieren Sie zum Ordner <Speicherort der installierten ISO-Datei>\IdentityApplications und führen Sie die Datei install.exe aus.

  4. Wählen Sie die Sprache für die Installation aus und klicken Sie auf OK.

  5. Klicken Sie auf der Einführungsseite auf Weiter.

  6. Lesen und akzeptieren Sie die Lizenzvereinbarung und klicken Sie dann auf Weiter.

    Die installierten Komponenten und deren Versionen werden angezeigt.

  7. Wählen Sie Identity Applications aus und klicken Sie auf Weiter.

  8. Geben Sie die Konfigurationseinstellungen für die Identity Applications an. Weitere Informationen finden Sie unter Arbeitsblatt zur Konfiguration von Identity Applications.

    HINWEIS:

    • NetIQ empfiehlt, die Workflow-Datenbank mit dem Identity Manager-Installationsprogramm zu erstellen, wenn Sie die PostgreSQL-Datenbank auf dem gleichen Server wie Identity Applications installiert haben.

    • Während des Upgrades müssen Sie die JDBC-JAR-Datei der Datenbank manuell angeben. Wenn Sie beispielsweise die PostgreSQL-Datenbank verwenden, müssen Sie den Speicherort der Datenbank-JAR angeben, die sich außerhalb des Ordners tomcat\lib befindet.

  9. Lesen Sie auf der Seite der Zusammenfassung vor der Aufrüstung die Einstellungen und klicken Sie auf Aufrüsten.

Abhängig davon, wo Sie die Komponenten installiert haben, wird das Sicherungsverzeichnis in diesem Verzeichnis erstellt und ein Zeitstempel (mit der Uhrzeit der Sicherung) wird an das gesicherte Verzeichnis angehängt.

Beispiel:

  • Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634

  • OSP und SSPR – C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634

  • ActiveMQ – C:\NetIQ\idm\apps\activemq_backup_02262018_033634

  • Benutzeranwendung – C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634

  • Identity Reporting – C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634

11.3.7 Aufgaben nach der Aufrüstung

Wenn Sie die Identitätsanwendungen und SSPR auf verschiedenen Servern installiert haben, müssen Sie das vertrauenswürdige SSPR-Zertifikat mit dem CN „Identity Applications“ in die Datei cacerts des Identity Applications-Servers importieren.

Sie müssen außerdem die benutzerdefinierten Einstellungen für Tomcat, SSPR, OSP oder die Identitätsanwendungen manuell wiederherstellen.

Führen Sie die nach der Aufrüstung vorzunehmenden Schritte für die erforderlichen Komponenten durch:

Java

Überprüfen Sie die Zertifikate am aufgerüsteten JRE-Speicherort: jre\lib\security\cacerts im Vergleich zu Ihrem alten JRE-Speicherort. Importieren Sie die fehlenden Zertifikate manuell in cacerts.

  1. Importieren Sie java cacerts mit dem Befehl keytool:

    keytool -import -trustcacerts -file Certificate_Path -alias ALIAS_NAME -keystore cacerts

    HINWEIS:Nach der Aufrüstung ist JRE im Installationsverzeichnis der Identitätsanwendungen gespeichert. Beispiel: C:\NetIQ\idm\apps\jre

  2. Starten Sie das Identitätsdepot neu.

  3. Stellen Sie sicher, dass der JRE-Startort tomcat\bin\setenv.bat ist.

  4. Starten Sie das Konfigurationsaktualisierungsprogramm und prüfen Sie den Pfad der cacerts.

Tomcat

  1. (Bedingt) Möchten Sie benutzerdefinierte Dateien aus der zuvor im Rahmen der Aufrüstung erstellten Sicherung wiederherstellen, gehen Sie wie folgt vor:

    • Stellen Sie benutzerdefinierte https-Zertifikate wieder her. Kopieren Sie zur Wiederherstellung der Zertifikate den Inhalt der Java Secure Socket Extension (JSSE) aus der gesicherten server.xml-Datei zur neuen server.xml -Datei im Verzeichnis \tomcat\conf.

    • Kopieren Sie nicht die Konfigurationsdateien vom gesicherten Tomcat-Verzeichnis in das neue Tomcat-Verzeichnis. Starten Sie mit der Standardkonfiguration der neuen Version und nehmen Sie die erforderlichen Änderungen vor. Weitere Informationen finden Sie auf der Apache-Website.

      Stellen Sie sicher, dass die neue Datei server.xml folgende Einträge aufweist:

      <Connector port="8543" protocol="HTTP/1.1" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      Alternativ:

      <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      HINWEIS:In einer Cluster-Umgebung kommentieren Sie das Tag Cluster in server.xml manuell aus und kopieren Sie osp.jks auf alle Knoten vom ersten Knoten unter C:\netiq\idm\apps\osp_backup_<Datum>.

    • Wenn Ihnen benutzerdefinierte Keystore-Dateien vorliegen, fügen Sie den korrekten Pfad der neuen server.xml-Datei hinzu.

    • Importieren Sie die Zertifikate der Identitätsanwendungen in das Identitätsdepot unter /C:\NetIQ\eDirectory\jre\lib\security\cacerts.

      Sie können die Zertifikate beispielsweise mit dem folgenden „keytool“-Befehl in das Identitätsdepot importieren:

      keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  2. (Bedingt) Navigieren Sie zur Benutzeranwendung und stellen Sie die benutzerdefinierten Einstellungen manuell wieder her. Lesen Sie hierzu die gesicherte Konfiguration wieder ein.

Identitätsanwendungen

Beim Upgrade der Identitätsanwendungen von 4.6 SP4 auf 4.8 müssen Sie sicherstellen, dass der Parameter Dcom.novell.afw.wf.engine-id=IDMProv in der Datei setenv im Ordner tomcat/bin vorhanden ist. Falls dieser Parameter nach dem Upgrade der Identitätsanwendungen fehlt, müssen Sie ihn manuell in der Datei setenv hinzufügen und den Tomcat-Server neu starten.

One SSO-Anbieter

Standardmäßig ist der Eintrag LogHost in der Datei logevent.conf auf localhost eingestellt.

Zum Bearbeiten des Eintrags LogHost stellen Sie die benutzerdefinierten OSP-Konfigurationen manuell anhand der Sicherung wieder her, die im Rahmen des Aufrüstungsvorgangs erstellt wurde.

Self-Service Password Reset

Aktualisieren Sie nach der Aufrüstung von SSPR den SSO-Client-Parameter mit dem Konfigurationsaktualisierungsprogramm. Weitere Informationen finden Sie in Parameter für SSO-Clients.

Aktualisieren Sie die SSPR-Konfigurationsdetails mit den folgenden Schritten:

  1. Melden Sie sich beim SSPR-Portal als Administrator an.

  2. Aktualisieren Sie die Audit-Serverdetails:

    1. Navigieren Sie zu Ihre ID > Konfigurationseditor und geben Sie das Konfigurationspasswort an.

    2. Wählen Sie Einstellungen > Revision > Audit-Weiterleitung > Syslog-Audit Server-Zertifikate aus.

    3. Importieren Sie diese Zertifikate vom Server und klicken Sie auf Speichern.

  3. Importieren Sie die LocalDB in SSPR:

    1. Navigieren Sie im Dropdown-Menü zu IhreID > Konfigurationsmanager.

    2. Klicken Sie auf LocalDB.

    3. Klicken Sie auf LocalDB-Archivdatei importieren (hochladen).

  4. (Bedingt) So schränken Sie die Konfiguration für SSPR ein:

    1. Navigieren Sie in der Liste zu IhreID > Konfigurationsmanager.

    2. Klicken Sie auf Konfiguration einschränken.

  5. Konfigurieren Sie die Administratorberechtigungen für SSPR (siehe Schritte nach der Installation).

Starten Sie die aufgerüsteten Komponenten, um zu prüfen, ob die Aufrüstung erfolgreich war.

Starten Sie beispielsweise das Identity Manager-Dashboard und klicken Sie auf Info. Prüfen Sie, ob die Anwendung die neue Version anzeigt, zum Beispiel 4.8.0.

Kerberos

Das Aufrüstungsprogramm erstellt einen neuen Tomcat-Ordner auf dem Computer. Falls sich Kerberos-Dateien (z. B. keytab und Kerberos_login.config) im bisherigen Tomcat-Ordner befinden, kopieren Sie diese Dateien aus dem gesicherten Ordner in den neuen Tomcat-Ordner.