Im Folgenden wird beschrieben, wie Sie die Identitätsanwendungen mithilfe eines Installationsassistenten installieren (wahlweise über die Benutzeroberfläche oder an der Konsole). Anweisungen für die automatische, unbeaufsichtigte Installation finden Sie in Abschnitt 33.3, Automatische Installation der Identitätsanwendungen.
Bereiten Sie die Installation gemäß den Anweisungen in Abschnitt 33.1, Checkliste für die Installation der Identitätsanwendungen vor. Beachten Sie auch die Versionshinweise zur betreffenden Version.
HINWEIS:
Die Werte, die Sie beim Bearbeiten des Assistenten in die einzelnen Fenster eingeben, werden nicht im Installationsprogramm gespeichert. Wenn Sie mit Zurück zu einem früheren Fenster zurückwechseln, müssen Sie die Konfigurationswerte erneut eingeben.
Das Installationsprogramm erstellt das Benutzerkonto novlua und stellt die Berechtigungen in den Anwendungsserverdateien auf diesen Benutzer ein. Das Skript idmapps_tomcat_init führt beispielsweise Tomcat mit diesem Benutzerkonto aus.
Wenn Sie die WARs für die Startseite und das Dashboard in WebSphere bereitstellen, gilt Folgendes:
Die Option Module zu Server zuordnen zeigt den Modulwert für uadash für beide WARs. Die URI-Werte müssen mit dem bereitzustellenden WAR übereinstimmen.
Die Option Kontext-Roots für Webmodule zuordnen zeigt den Modulwert für uadash für beide WARs. Die URI-Werte müssen mit dem bereitzustellenden WAR übereinstimmen.
Stellen Sie die WARs mit dem Kontextwert bereit, der mit dem Namen der jeweiligen .war-Datei übereinstimmt. Für dash.war geben Sie den Kontextwert dash an, für landing.war entsprechend den Kontext landing.
Die WAR-Dateien müssen auf demselben WebSphere-Knoten wie die Benutzeranwendung (IDMProv.war) bereitgestellt werden.
Wenn Sie den Katalogadministrator (rra.war) in WebSphere bereitstellen, geben Sie in der Option Kontext-Roots für Webmodule zuordnen den Kontextwert rra an. Die Datei rra.war muss auf demselben WebSphere-Knoten wie die Benutzeranwendung (IDMProv.war) bereitgestellt werden.
Melden Sie sich als root oder als verwaltungsbefugter Benutzer an dem Computer an, auf dem die Identitätsanwendungen installiert werden sollen.
(Bedingt) Wenn die Installation in einer WebSphere-Umgebung erfolgt, wenden Sie die uneingeschränkten Richtliniendateien für das unterstützte IBM-JDK an.
Weitere Informationen sind der IBM-Dokumentation zu entnehmen; hier finden Sie einen Link zu diesen Dateien sowie Anweisungen für ihre Anwendung. Die JAR-Datei für uneingeschränkte Richtliniendateien muss sich im Verzeichnis JAVA_HOME\jre\lib\security befinden.
Ohne diese uneingeschränkten Richtliniendateien erhalten Sie die Fehlermeldung „Ungültige Schlüsselgröße“. Die Hauptursache dieses Problems ist der Mangel an uneingeschränkten Richtliniendateien. Stellen Sie also sicher, dass Sie das richtige IBM JDK verwenden.
Halten Sie den Anwendungsserver an (z. B. Tomcat).
(Bedingt) Wenn Ihnen die .iso-Image-Datei für das Identity Manager-Installationspaket vorliegt, navigieren Sie zum Verzeichnis, in dem sich die iManager-Installationsdateien befinden (standardmäßig unter products/RBPM/user_app_install).
(Bedingt) Wenn Sie die Installationsdateien heruntergeladen haben, führen Sie die folgenden Schritte aus:
Navigieren Sie zur .tgz- oder win.zip-Datei für das heruntergeladene Image.
Extrahieren Sie den Inhalt der Datei in ein Verzeichnis auf dem lokalen Computer.
Führen Sie im Verzeichnis mit den Installationsdateien einen der folgenden Schritte aus:
Linux (Konsole) – Geben Sie Folgendes ein: /IdmUserApp.bin -i console
Linux (Benutzeroberfläche) – Geben Sie Folgendes ein: /IdmUserApp.bin
Windows: Führen Sie IdmUserApp.exe aus.
Führen Sie die geführte Installation mit den folgenden Parametern aus:
Anwendungsserverplattform
Gibt den Anwendungsserver an, auf dem die Identitätsanwendung ausgeführt werden soll. Der Anwendungsserver muss bereits installiert sein.
Als Arbeitserleichterung wird Tomcat zur Verfügung gestellt.
Installationsordner
Gibt den Pfad zu einem Verzeichnis an, in dem das Installationsprogramm die Anwendungsdateien erstellen soll.
Datenbankplattform
Gibt die Plattform der Benutzeranwendungsdatenbank an. Die Datenbank-Software muss bereits installiert sein. Während der Installation müssen Sie jedoch nicht das Datenbankschema erstellen.
Als Arbeitserleichterung wird PostgreSQL zur Verfügung gestellt.
Datenbank-Host und Port
Gibt die Einstellungen für den Server an, auf dem die Benutzeranwendungsdatenbank gehostet wird.
HINWEIS:In einem Cluster müssen für jedes Clustermitglied dieselben Datenbankeinstellungen angegeben werden.
Gibt den Namen oder die IP-Adresse des Servers an.
Gibt den Port an, über den der Server mit der Benutzeranwendung kommunizieren soll.
Datenbankbenutzername und Passwort
Gibt die Einstellungen für die Ausführung der Benutzeranwendungsdatenbank an.
HINWEIS:
Wenn Sie PostgreSQL im Rahmen der Installation dieser Version von Identity Manager mitinstalliert haben, wurden die Datenbank und der Datenbankadministrator bereits angelegt. Die installierte Datenbank ist standardmäßig idmuserappdb, der Datenbankbenutzer ist idmadmin. Geben Sie dieselben Werte an, die Sie bei der PostgreSQL-Installation verwendet haben.
In einer Cluster-Umgebung müssen für jedes Clustermitglied derselbe Datenbankname, derselbe Benutzername und dasselbe Passwort angegeben werden.
Gibt den Namen der Datenbank entsprechend der Datenbankplattform an. Der Name der Datenbank lautet standardmäßig idmuserappdb.
Bei einer PostgreSQL- oder SQL Server-Datenbank geben Sie den Namen für die Datenbank ein.
Bei einer Oracle-Datenbank geben Sie die Sicherheits-ID (SID) an, die Sie mit der Datenbankinstanz erstellt haben.
Gibt den Namen eines Kontos an, über das die Benutzeranwendung auf die Daten in den Datenbanken zugreifen und diese Daten bearbeiten kann.
Gibt das Passwort für den angegebenen Benutzernamen an.
Gibt die JAR-Datei für die Datenbankplattform an.
Der Hersteller der Datenbank stellt die Treiber-JAR-Datei bereit, die als Thin-Client-JAR-Datei für den Datenbankserver fungiert. Für PostgreSQL geben Sie beispielsweise postgresql-9.3-1101.jdbc41.jar an (standardmäßig im Ordner opt\netiq\idm\apps\Postgres).
NetIQ unterstützt keine Treiber-JAR-Dateien von Drittanbietern.
Datenbankadministrator
Optional
Gibt den Namen und das Passwort für den Datenbankadministrator an.
In diesem Feld wird automatisch das Benutzerkonto und das Passwort aufgeführt, das Sie als Benutzername und Passwort für die Datenbank angegeben haben. Soll dieses Konto verwendet werden, nehmen Sie keine Änderungen vor.
(Optional) Gibt das Konto eines Datenbankadministrators an, der Datenbanktabellen, Ansichten und andere Artefakte erstellen kann.
(Optional) Gibt das Passwort für den Datenbankadministrator an.
Datenbanktabellen erstellen
Gibt an, ob die neue oder vorhandene Datenbank während oder erst nach der Installation konfiguriert werden soll.
Das Installationsprogramm erstellt die Datenbanktabellen im Rahmen des Installationsvorgangs.
Das Installationsprogramm hinterlässt eine Anweisung, dass die Tabellen beim ersten Starten der Benutzeranwendung erstellt werden sollen.
Erzeugt ein SQL-Skript, mit dem der Datenbankadministrator die Datenbanken ausführen kann. Wenn Sie diese Option wählen, müssen Sie außerdem einen Namen für die Schemadatei angeben. Diese Einstellung befindet sich in der Konfiguration der SQL-Ausgabedatei.
Wählen Sie diese Option, wenn Sie nicht über ausreichende Berechtigungen zum Erstellen oder Bearbeiten einer Datenbank in Ihrer Umgebung verfügen. Weitere Informationen zum Erzeugen der Tabellen mit der Datei finden Sie in Abschnitt 35.1, Manuelles Erstellen der Datenbank.
Neue Datenbank oder vorhandene Datenbank
Gilt nur dann, wenn die Tabellen während der Installation erstellt werden sollen oder wenn in eine SQL-Datei geschrieben werden soll.
Gibt an, ob vorhandene, leere Datenbanken verwendet oder neue Datenbanken mit der Installation erstellt werden sollen. Beachten Sie die folgenden Überlegungen:
Wenn Sie PostgreSQL im Rahmen der Installation dieser Version von Identity Manager mitinstalliert haben, wählen Sie Vorhandene Datenbank. Die Datenbank und der Datenbankadministrator wurden bereits während der PostgreSQL-Installation erstellt. Die Datenbank ist standardmäßig idmuserappdb, der Datenbankbenutzer ist idmadmin.
Wenn eine vorhandene Datenbank aus einer früheren Installation verwendet werden soll, darf diese Datenbank keine Daten und keine Tabellen enthalten. Ansonsten können Fehler bei der Installation auftreten.
Wenn die vorhandene Datenbank auf einer Oracle-Plattform ausgeführt wird, müssen Sie zunächst Oracle vorbereiten und dann das Schema aktualisieren. Weitere Informationen finden Sie in Abschnitt 54.6.1, Vorbereiten einer Oracle-Datenbank für die SQL-Datei.
Datenbankverbindung testen
Gibt an, ob das Installationsprogramm zum direkten Erstellen von Tabellen bzw. zum Erstellen der .sql-Datei eine Verbindung zur Datenbank herstellen soll.
Sobald Sie auf Weiter klicken oder die Eingabetaste drücken, versucht das Installationsprogramm, die Verbindung aufzubauen.
HINWEIS:Falls ein Fehler bei der Datenbankverbindung auftritt, können Sie die Installation dennoch fortsetzen. Nach der Installation müssen Sie jedoch manuell die Tabellen erstellen und die Verbindung zur Datenbank herstellen. Weitere Informationen finden Sie in Abschnitt 35.1.2, Manuelles Erstellen der SQL-Datei zum Generieren des Datenbankschemas.
Java-Installation
Gibt den Pfad zur JRE-Datei an, mit der das Installationsprogramm gestartet wird. Beispiel: /root/opt/java/jre7.
Anwendungsserver-Konfiguration
Gibt den Pfad zu den Installationsdateien für den Anwendungsserver an. Beispiel: /opt/apache-tomcat-7.0.52. Der Installationsvorgang legt einige weitere Dateien in diesem Ordner ab.
IDM-Konfiguration
Gibt die Einstellungen für den Kontext der Identitätsanwendungen an, der in URLs und für die Workflow-Engine verwendet wird.
Gilt nur dann, wenn die Bereitstellungs-WAR-Datei auf einem Knoten in einem JBoss-Cluster installiert wird.
Gibt die Konfiguration für den Anwendungsserver an. Wenn diese Installation beispielsweise auf einem einzelnen Knoten erfolgt, der nicht zu einem Cluster gehört, wählen Sie entsprechend Standard.
Bei der Option Alle müssen Sie die Workflow-Engine-ID angeben.
Gibt einen Namen an, der die Anwendungsserver-Konfiguration, die WAR-Datei der Anwendung und den Namen im URL-Kontext umfasst.
Das Installationsskript erstellt eine Serverkonfiguration und weist ihr den Namen zu, den Sie beim Installieren des Anwendungsservers angegeben haben. Beispiel: IDMProv.
WICHTIG: NetIQ empfiehlt, den angegebenen Anwendungskontext zu notieren. Diesen Anwendungsnamen müssen Sie in der URL angeben, wenn Sie die Identitätsanwendungen über einen Browser starten.
Gilt nur dann, wenn die Bereitstellungs-WAR-Datei auf einem Knoten in einem JBoss-Cluster installiert wird.
Gibt die ID für die Workflow-Engine an.
Die Engine-ID darf nicht länger als 32 Zeichen sein. Weitere Informationen zu Workflow-Engine-IDs finden Sie im Abschnitt zum Konfigurieren von Workflows für das Clustering im User Application: Administration Guide (Benutzeranwendung: Administrationshandbuch).
Audit-Protokollierungstyp auswählen
Gibt an, ob die Protokollereignisse an einen Audit-Server gesendet werden sollen. Wählen Sie Ja oder Nein.
Audit-Protokollierung
Gilt nur dann, wenn Sie unter „Audit-Protokollierungstyp auswählen“ die Option „Ja“ angegeben haben.
Gibt den Typ der zu aktivierenden Protokollierung an.
Weitere Informationen zum Einrichten der Protokollierung finden Sie im User Application Administration Guide (Benutzeranwendung: Administrationshandbuch).
Ermöglicht die Protokollierung für die Benutzeranwendung über einen Novell- oder NetIQ-Client.
HINWEIS:Wenn Sie diese Option wählen, müssen Sie außerdem den Hostnamen oder die IP-Adresse des Client-Servers sowie den Pfad zum Protokoll-Cache angeben. Diese Einstellungen befinden sich im Konfigurationsabschnitt Novell Identity Audit oder NetIQ Sentinel.
Gibt an, ob die Benutzeranwendung Ereignisse an den OpenXDAS-Server senden kann.
Sicherheit – Master-Schlüssel
Gibt an, ob ein vorhandener Master-Schlüssel importiert werden soll. Die Benutzeranwendung greift mithilfe des Master-Schlüssels auf verschlüsselte Daten zu. Wählen Sie Ja oder Nein.
Der Master-Schlüssel sollte beispielsweise in den folgenden Situationen importiert werden:
Sie haben die erste Instanz der Identitätsanwendungen in einem Cluster installiert. Alle Instanzen der Benutzeranwendung in einem Cluster müssen denselben Master-Schlüssel verwenden. Weitere Informationen finden Sie in Abschnitt 32.3.3, Verwenden eines einzigen Master-Schlüssels für alle Benutzeranwendungen im Cluster.
Sie verlagern Ihre Installation aus einem Staging-System in ein Produktionssystem und möchten auch weiterhin auf die Datenbank des Staging-Systems zugreifen.
Sie stellen die Benutzeranwendung wieder her und möchten auf die verschlüsselten Daten zugreifen, die mit der bisherigen Version der Benutzeranwendung gespeichert wurden.
Gibt an, dass ein vorhandener Master-Schlüssel importiert werden soll.
Gibt an, dass das Installationsprogramm den Schlüssel erstellen soll.
Bei der Installation wird der verschlüsselte Master-Schlüssel standardmäßig im Installationsverzeichnis in die Datei master-key.txt geschrieben.
Master-Schlüssel importieren
Gilt nur dann, wenn Sie unter „Sicherheit – Master-Schlüssel“ die Option „Ja“ angegeben haben.
Wählen Sie den zu verwendenden Master-Schlüssel aus. Sie können den Master-Schlüssel aus der Datei master-key.txt kopieren.
Anwendungsserver-Verbindung
Gibt die Einstellungen für die URL an, über die die Benutzer eine Verbindung zu den Identitätsanwendungen auf dem Anwendungsserver herstellen. Beispiel: https:meinserver.meinefirma.de:8080.
HINWEIS:Wenn OSP auf einer anderen Instanz des Anwendungsservers ausgeführt wird, müssen Sie außerdem die Option Mit externen Authentifizierungsserver verbinden wählen und die entsprechenden Werte für den OSP-Server angeben.
Gibt an, ob http oder https verwendet werden soll. Soll die Kommunikation per SSL (Secure Sockets Layer) erfolgen, wählen Sie https.
Gibt den DNS-Namen oder die IP-Adresse des Servers an, auf dem OSP gehostet wird. Verwenden Sie nicht localhost.
Gibt den Port an, über den der Server mit den Client-Computern kommunizieren soll.
Gibt an, ob der Authentifizierungsserver (OSP) auf einer Instanz des Anwendungsservers gehostet wird. Auf dem Authentifizierungsserver befindet sich eine Liste der Benutzer, die sich bei SSPR anmelden können.
Wenn Sie diese Einstellung wählen, müssen Sie außerdem Werte für Protokoll, Hostname und Port für den Authentifizierungsserver angeben.
Authentifizierungsserver – Details
Gibt das Passwort an, mit dem die Identitätsanwendungen eine Verbindung zum Authentifizierungsserver herstellen soll. Dies wird auch als Client-Geheimnis bezeichnet. Dieses Passwort wird während der Installation erstellt.
(Bedingt) Sollen die Einstellungen für die Identitätsanwendungen erst nach der Installation konfiguriert werden, klicken Sie im Fenster „Rollenbasiertes Bereitstellungsmodul – Konfiguration“ auf Abbrechen.
HINWEIS:Nach erfolgter Installation der Benutzeranwendung können Sie den Großteil der Einstellungen in der Datei configureupdate.sh bzw. configureupdate.bat bearbeiten. Weitere Informationen zum Festlegen der Werte für die Einstellungen finden Sie in Abschnitt 36.0, Konfigurieren der Einstellungen für die Identitätsanwendungen.
(Bedingt) Wenn Sie die Identitätsanwendungen bei einer Installation über die Benutzeroberfläche sofort konfigurieren möchten, führen Sie im Fenster „IDM konfigurieren“ die folgenden Schritte aus:
Klicken Sie auf Ja und dann auf Weiter.
Klicken Sie im Fenster „Rollenbasiertes Bereitstellungsmodul – Konfiguration“ auf Erweiterte Optionen anzeigen.
Bearbeiten Sie die Einstellungen nach Bedarf.
HINWEIS:
Weitere Informationen zum Angeben der Werte finden Sie in Abschnitt 36.0, Konfigurieren der Einstellungen für die Identitätsanwendungen.
In Produktionsumgebungen wird die Zuweisung der Administratoren durch die Lizenzierung beschränkt. NetIQ sammelt Überwachungsdaten in der Audit-Datenbank, um sicherzustellen, dass die Lizenzierung in der Produktionsumgebung eingehalten wird. Darüber hinaus empfiehlt NetIQ, die Sicherheitsadministratorberechtigung nur einem Benutzer zu erteilen.
Klicken Sie auf OK.
(Bedingt) Wenn Sie die Identitätsanwendungen bei einer Installation an der Konsole sofort konfigurieren möchten, führen Sie die folgenden Schritte aus:
Starten Sie das Dienstprogramm für die Aktualisierung der Konfiguration über die Befehlszeile:
Linux: configupdate.sh
Windows: configupdate.bat
(Optional) Soll das NMAS-Zertifikat erstellt werden, navigieren Sie zu SSO-Clients > RBPM, und wählen Sie unter RBPM-zu-eDirectory-SAML-Konfiguration die Option Automatisch.
Geben Sie Werte für andere Einstellungen gemäß den Anweisungen in Abschnitt 36.0, Konfigurieren der Einstellungen für die Identitätsanwendungen an.
Klicken Sie auf Weiter.
Klicken Sie im Fenster „Übersicht vor der Installation“ auf Installieren.
(Optional) Lesen Sie die Installationsprotokolldateien. Die Ergebnisse der einfachen Installation finden Sie in der Datei user_application_install_log.log im Verzeichnis /opt/netiq/idm/apps/UserApplication/logs/.
Weitere Informationen zur Konfiguration der Identitätsanwendungen finden Sie in der Datei NetIQ-Custom-Install.log im Verzeichnis /opt/netiq/idm/apps/UserApplication/.
(Optional) Wenn Sie eine externe WAR-Datei für die Passwortverwaltung verwenden, kopieren Sie sie manuell in das Installationsverzeichnis und in das Bereitstellungsverzeichnis des Remote-Anwendungsservers, auf dem die externe Passwort-WAR ausgeführt wird.
(Bedingt) Wenn Sie die Identitätsanwendungen auf der JBoss-EAP (Enterprise-Anwendungsplattform) installieren, fahren Sie mit Aufgaben nach der Installation für JBoss fort.
(Bedingt) In einer WebSphere-Umgebung erstellen Sie neue JVM-Systemeigenschaften für die Benutzeranwendung. Weitere Informationen finden Sie in Abschnitt 33.6.2, Hinzufügen von Benutzeranwendungs-Konfigurationsdateien und JVM-Systemeigenschaften.
Führen Sie die Aufgaben nach der Installation gemäß Abschnitt 35.0, Abschließen der Installation der Identitätsanwendungen aus.