Die Datenübertragung zwischen dem Remote Loader und der Identity Manager-Engine muss in jedem Fall geschützt sein. NetIQ empfiehlt die Kommunikation über die TLS/SSL-Protokolle (Transport Layer Security/Secure Socket Layer). Damit TLS/SSL-Verbindungen unterstützt werden können, muss ein geeignetes selbstsigniertes Zertifikat in einer Keystore-Datei vorliegen. In diesem Abschnitt wird beschrieben, wie Sie dieses Zertifikat erstellen, exportieren und speichern.
HINWEIS:Verwenden Sie dieselbe SSL-Version auf den Servern, auf denen die Identity Manager-Engine gehostet werden, und für den Remote Loader. Wenn die SSL-Version auf dem Server nicht mit der SSL-Version des Remote Loaders übereinstimmt, gibt der Server die Fehlermeldung SSL3_GET_RECORD:Falsche Versionsnummer zurück. Diese Meldung ist lediglich ein Warnhinweis; die Kommunikation zwischen dem Server und dem Remote Loader wird nicht unterbrochen. Der Fehler kann jedoch zu Verwirrungen führen.
Der Remote Loader öffnet ein Server-Socket und überwacht die vom Remote-Schnittstellenmodul kommenden Verbindungen. Zum Einrichten eines sicheren Kanals führen das Remote-Schnittstellenmodul und der Remote Loader einen SSL-Handshake aus. Anschließend authentifiziert sich das Remote-Schnittstellenmodul beim Remote Loader. Wenn die Authentifizierung des Remote-Schnittstellenmoduls erfolgreich ausgeführt wurde, authentifiziert sich der Remote Loader beim Remote-Schnittstellenmodul. Nur wenn beide Seiten übereinkommen, dass sie mit einer autorisierten Entität kommunizieren, findet der Synchronisierungsverkehr statt.
Die Abläufe beim Einrichten einer SSL-Verbindung zwischen einem Treiber und der Identity Manager-Engine sind abhängig vom Treibertyp:
Bei einem nativen Treiber, beispielsweise dem Active Directory-Treiber, verweisen Sie auf ein base64-verschlüsseltes Zertifikat. Weitere Informationen finden Sie in Abschnitt 18.1.2, Verwalten von selbstsignierten Serverzertifikaten.
Bei einem Java-Treiber müssen Sie einen Keystore erstellen. Weitere Informationen finden Sie in Abschnitt 18.1.3, Erstellen einer Keystore-Datei für SSL-Verbindungen.
HINWEIS:Der Remote Loader ermöglicht benutzerdefinierte Verbindungsmethoden zwischen dem Remote Loader und dem Remote-Schnittstellenmodul, das auf dem Identity Manager-Server gehostet wird. Weitere Informationen zu den Elementen, die beim Konfigurieren eines benutzerdefinierten Verbindungsmoduls in der Verbindungszeichenkette erwartet werden und zulässig sind, finden Sie in der Dokumentation des Moduls.
Um die sichere Kommunikation zwischen dem Remote Loader und der Identity Manager-Engine zu gewährleisten, können Sie ein selbstsigniertes Serverzertifikat erstellen und exportieren. Sie können ein neu erstelltes Zertifikat exportieren. Wenn bereits ein SSL-Serverzertifikat vorhanden ist und Sie sich mit SSL-Zertifikaten auskennen, können Sie stattdessen dieses Zertifikat verwenden; in diesem Fall muss kein neues Zertifikat erstellt werden. Befolgen Sie dieses Verfahren, wenn Sie einen nativen Treiber verwenden möchten, beispielsweise den Active Directory-Treiber.
HINWEIS:Wenn ein Server mit einer Baumstruktur verknüpft wird, erstellt eDirectory die folgenden Standardzertifikate:
SSL CertificateIP
SSL CertificateDNS
Melden Sie sich bei NetIQ iManager an.
Erstellen Sie ein neues Zertifikat mit den folgenden Schritten:
Klicken Sie auf NetIQ Certificate Server > Create Server Certificate (Serverzertifikat erstellen).
Wählen Sie den Server aus, der als Eigentümer des Zertifikats fungieren soll.
Geben Sie einen Kurznamen für das Zertifikat ein. Beispiel: remotecert.
HINWEIS:NetIQ empfiehlt, auf Leerzeichen in den Kurznamen der Zertifikate zu verzichten. Verwenden Sie beispielsweise remotecert statt remote cert.
Notieren Sie sich außerdem den Kurznamen des Zertifikats. Der Kurzname wird als KMO-Name in den Remote-Verbindungsparametern des Treibers herangezogen.
Behalten Sie die Erstellungsmethode Standard bei und klicken Sie anschließend auf Weiter.
Überprüfen Sie die Zusammenfassung, klicken Sie auf Fertig stellen und anschließend auf Schließen.
Exportieren Sie das Zertifikat mit den folgenden Schritten:
Klicken Sie in iManager auf eDirectory-Administration > Objekt bearbeiten.
Wechseln Sie zur Zertifizierungsstelle im Sicherheitscontainer, wählen Sie sie aus und klicken Sie anschließend auf OK.
Die Zertifizierungsstelle (CA) ist nach dem Baumnamen (Treename-CA.Security) benannt.
Wählen Sie auf der Registerkarte Zertifikate den Eintrag Selbstsigniertes Zertifikat in der Liste der Zertifikate aus.
Klicken Sie auf Exportieren.
Heben Sie im Assistenten für den Zertifikatexport die Auswahl der Option Privaten Schlüssel exportieren auf.
Wählen Sie den Eintrag BASE64 als Exportformat aus, und klicken Sie auf Weiter.
HINWEIS:Wenn der Remote Loader auf einem Server mit Windows 2003 R2 SP1 (32 Bit) ausgeführt wird, muss das Zertifikat im Base64-Format vorliegen. Wenn Sie das DER-Format verwenden, kann der Remote Loader keine Verbindung zur Identity Manager-Engine herstellen.
Klicken Sie auf Exportiertes Zertifikat speichern, und wählen Sie einen Speicherort im lokalen Dateisystem aus.
Klicken Sie auf Speichern und anschließend auf Schließen.
Zum Herstellen von SSL-Verbindungen zwischen einem Java-Treiber und der Identity Manager-Engine muss ein Keystore erstellt werden. Ein Keystore ist eine Java-Datei, die Verschlüsselungsschlüssel und Zertifikate (optional) enthält. Wenn Sie SSL für die Kommunikation des Remote Loaders mit der Identity Manager-Engine verwenden möchten und mit einem Java-Schnittstellenmodul arbeiten, müssen Sie eine Keystore-Datei erstellen. In den folgenden Abschnitten wird erläutert, wie Sie eine Keystore-Datei erstellen:
Wenn Sie einen Keystore auf einer belieben Plattform erstellen möchten, geben Sie in der Befehlszeile Folgendes ein:
keytool -import -alias trustedroot -file Name_des_selbstsignierten_Zertifikats -keystore Dateiname -storepass keystorepass
Sie können einen beliebigen Dateinamen angeben. Beispiel: rdev_keystore.
In Linux-Umgebungen verwenden Sie die Datei create_keystore. Dieses Shell-Skript ruft das Keytool-Dienstprogramm auf. Die Datei wird zusammen mit rdxml installiert und befindet sich standardmäßig im Verzeichnis Installationsverzeichnis/dirxml/bin/. Die Datei „create_keystore“ ist auch in der Datei dirxml_jremote.tar.gz enthalten, die sich im Verzeichnis \dirxml\java\remoteloader befindet.
HINWEIS:Wenn Sie auf einem UNIX-Computer den Keystore mithilfe des selbstsignierten Zertifikats erstellen, können Sie das Zertifikat in das Base64-Format oder das binäre DER-Format exportieren.
Geben Sie in der Befehlszeile Folgendes ein:
create_keystore Name_des_selbstsignierten_Zertifikats Name_des_Keystore
Geben Sie beispielsweise Folgendes ein:
create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore
Das create_keystore-Skript legt „dirxml“ als hartcodiertes Keystore-Passwort fest. Dies ist kein Sicherheitsrisiko, da im Keystore nur ein öffentliches Zertifikat und ein öffentlicher Schlüssel gespeichert werden.
Führen Sie unter Windows das Keytool-Dienstprogramm aus (standardmäßig im Verzeichnis c:\novell\remoteloader\jre\bin).