Das Identitätsdepot nutzt ein Verzeichnis, in dem die Objekte gespeichert werden, die anhand der Identity Manager-Lösung synchronisiert werden. In den nachfolgenden Abschnitten finden Sie Hinweise, mit denen Sie die Bereitstellung von NetIQ eDirectory als Rahmenwerk für das Identitätsdepot planen können.
Abschnitt 7.2.1, Voraussetzungen für die Installation des Identitätsdepots
Abschnitt 7.2.2, Voraussetzungen für die Installation des Identitätsdepots als Nicht-root-Benutzer
Abschnitt 7.2.3, Voraussetzungen für die Installation des Identitätsdepots auf einem Windows-Server
Abschnitt 7.2.4, Voraussetzungen für die Installation des Identitätsdepots in einer Cluster-Umgebung
NetIQ empfiehlt, vor der Installation von eDirectory als Rahmenwerk für das Identitätsdepot die folgenden Überlegungen zu lesen:
Vor dem Installieren von eDirectory muss eine Methode vorliegen, mit der die Baumnamen in Serververweisadressen aufgelöst werden. NetIQ empfiehlt die Verwendung von SLP-Diensten (Service Location Protocol). Bei älteren Versionen von NetIQ eDirectory (vor Version 8.8) wurde SLP während der Installation mitinstalliert. Ab Version 8.8 muss SLP jedoch separat installiert werden. Alternativ können Sie die Baumnamen mithilfe des Flatfiles hosts.nds auflösen. Weitere Informationen finden Sie in Abschnitt 8.2, Auflösen von Baumnamen mit OpenSLP oder hosts.nds.
(Bedingt) Bei der Installation auf einem Linux-Server müssen Sie Multicast-Routing für den Host mit 224.0.0.0 in der Routing-Tabelle aktivieren. Geben Sie beispielsweise den folgenden Befehl ein:
route add -net 224.0.0.0 netmask 240.0.0.0 dev interface
Hierbei gilt: interface steht für einen Wert wie eth0, hme0, hme1 oder hme2, abhängig von der Netzwerkschnittstellenkarte.
Damit die eDirectory-Infrastruktur effizient funktioniert, müssen Sie eine statische IP-Adresse auf dem Server konfigurieren. Wenn Sie DHCP-Adressen auf dem Server verwenden, liefert eDirectory unter Umständen unvorhersehbare Ergebnisse.
Synchronisieren Sie die Uhrzeit auf allen Netzwerkservern. NetIQ empfiehlt die Option ntp von NTP (Network Time Protocol).
(Bedingt) Wenn ein Sekundärserver installiert werden soll, müssen alle Replikate in der Partition, auf der Sie das Produkt installieren, den Status ON aufweisen.
(Bedingt) Soll ein Sekundärserver in einem vorhandenen Baum als Nicht-Administrator-Benutzer installiert werden, erstellen Sie einen Container, und partitionieren Sie ihn. Vergewissern Sie sich, dass Sie die folgenden Rechte besitzen:
Supervisor-Rechte für die Partition, der der Server hinzugefügt werden soll.
(Windows) Supervisor-Rechte für den Container, dem der Server hinzugefügt werden soll.
Alle Attributrechte: Rechte zum Lesen, Vergleichen und Schreiben für das Objekt W0.KAP.Security.
Attributrechte: Rechte zum Lesen und Vergleichen für das Security-Containerobjekt.
Eingaberechte: Rechte zum Durchsuchen für das Security-Containerobjekt.
Diese Rechte sind für das Hinzufügen des Replikats erforderlich, wenn weniger als drei Replikate vorhanden sind.
(Bedingt) Soll ein Sekundärserver in einem vorhandenen Baum als Nicht-Administrator-Benutzer installiert werden, muss mindestens einer der Server im Baum dieselbe oder eine höhere eDirectory-Version aufweisen als der Sekundärserver, der als Container-Admin hinzugefügt werden soll. Wenn der hinzuzufügende Sekundärserver eine höhere Version aufweist, muss der Administrator des Baums das Schema erweitern, bevor der Sekundärserver über den Container-Admin hinzugefügt wird.
Beim Konfigurieren von eDirectory müssen Sie einen NCP-Port (NetWare Core Protocol) in der Firewall aktivieren (standardmäßig 524), um das Hinzufügen des Sekundärservers zu ermöglichen. Abhängig von Ihren Anforderungen können Sie außerdem die folgenden standardmäßigen Dienstports aktivieren:
LDAP-Klartext – 389
LDAP-Klartext – 636
HTTP-Klartext – 8028
HTTP-Klartext – 8030
Novell International Cryptographic Infrastructure (NICI) muss auf jeder Arbeitsstation installiert werden, auf der Verwaltungsdienstprogramme für eDirectory (z. B. iManager) verwendet werden. NICI und eDirectory unterstützen Schlüsselgrößen bis 4096 Bit.
Unter Linux wird NICI mit dem Installationsprogramm nds-install für das Identitätsdepot automatisch installiert. Sie können NICI jedoch auch manuell installieren. Weitere Informationen finden Sie unter „Installieren von NICI“ im NetIQ eDirectory-Installationshandbuch.
(Bedingt) NICI 2.7 und eDirectory 8.8.x unterstützen Schlüsselgrößen bis 4096 Bit. Soll ein Schlüssel mit 4 KB verwendet werden, müssen Sie alle Server auf die unterstützte Version von eDirectory aufrüsten. Außerdem muss NICI 2.7 auf jeder Arbeitsstation installiert werden, auf der Verwaltungsdienstprogramme (z. B. iManager oder ConsoleOne) verwendet werden.
Wenn Sie den Zertifizierungsstellen-Server (CA-Server) auf eine unterstützte Version von eDirectory aufrüsten, bleibt die Schlüsselgröße unverändert bei 2 KB. Soll ein Schlüssel mit 4 KB erstellt werden, müssen Sie die CA auf dem aufgerüsteten eDirectory-Server erneut erstellen. Beim Erstellen der CA müssen Sie außerdem die standardmäßige Schlüsselgröße von 2 KB auf 4 KB erhöhen.
(Bedingt) Wenn der Name eines Containers im eDirectory-Baum einen Punkt enthält, müssen Sie die Parameter für den Admin-Namen, den Admin-Kontext und den Serverkontext während der Installation und auch beim Hinzufügen eines Servers zu einem vorhandenen Baum mithilfe von Escape-Zeichen angeben. Weitere Informationen finden Sie in Abschnitt 8.1, Verwenden von Escape-Zeichen im Namen eines Containers, der einen Punkt („.“) enthält.
Zur Installation des Identitätsdepots als Nicht-root-Benutzer muss die Umgebung die folgenden Bedingungen erfüllen:
Es ist nicht möglich, das Identitätsdepot als Nicht-root-Benutzer in einer Cluster-Umgebung zu installieren.
Ein root-Benutzer muss NICI auf dem Server installieren. Weitere Informationen finden Sie in Abschnitt 8.6, Manuelle Installation von NICI auf Arbeitsstationen, auf denen Verwaltungsfunktionen vorliegen.
Ein root-Benutzer muss den SNMP-Subagenten (NOVsubag) auf dem Server installieren und konfigurieren.
Geben Sie den folgenden Befehl ein: rpm -ivh --nodeps NOVLsubag_RPM_Dateiname_mit_Pfad.
Exportieren Sie die Pfade für die Umgebungsvariablen manuell mit dem folgenden Befehl:
export LD_LIBRARY_PATH=custom_location/opt/novell/eDirectory/lib64:/opt/novell/eDirectory/lib64/nds-modules:/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=/opt/novell/eDirectory/bin:$PATH export MANPATH=/opt/novell/man:$MANPATH
Beispiel:
rpm -ivh --nodeps novell-NOVLsubag-8.8.1-5.i386.rpm
(Bedingt) Wenn SLP und SNMP für den Identitätsdepot-Server verwendet werden sollen, müssen Sie diese Dienste als root installieren.
Das Nicht-root-Benutzerkonto, mit dem das Identitätsdepot installiert wird, muss Schreibrechte auf das Verzeichnis besitzen, in dem die Installation erfolgen soll.
NetIQ empfiehlt, vor der Installation des Identitätsdepots auf einem Windows-Server die folgenden Überlegungen zu lesen:
Sie müssen Administratorrechte für den Windows-Server und alle Bereiche des eDirectory-Baums besitzen, die domänenfähige Benutzerobjekte enthalten. Bei der Installation in einem vorhandenen Baum benötigen Sie Verwaltungsrechte für das Baumobjekt, um das Schema zu erweitern und Objekte zu erzeugen.
(Bedingt) Vor einer automatischen (unbeaufsichtigten) Installation müssen Sie die folgende Software auf dem Zielserver installieren:
Microsoft Visual C++ 2005 und Microsoft Visual C++ 2012 Redistributable Packages. Standardmäßig befinden sich die Installationsdateien vcredist_x86.exe und vcredist_x64.exe im Ordner eDirectory\Windows\x64\redist_pkg.
NICI (Novell International Cryptographic Infrastructure), sowohl für 32 Bit als auch für 64 Bit. Standardmäßig befinden sich die Installationsdateien im Ordner eDirectory/Windows/Prozessortyp/nici.
Da NTFS einen sichereren Transaktionsprozess bietet als ein Dateisystem mit FAT, können Sie eDirectory nur in einer NTFS-Partition installieren. Wenn Sie nur Dateisysteme mit FAT haben, führen Sie daher einen der folgenden Punkte aus:
Verwenden Sie den Festplatten-Manager. Weitere Informationen hierzu finden Sie in der Dokumentation zu Windows Server.
Erzeugen Sie eine neue Partition und formatieren Sie sie als NTFS.
Wandeln Sie ein vorhandenes FAT-Dateisystem mit dem Befehl CONVERT in NTFS um.
Weitere Informationen hierzu finden Sie in der Dokumentation zu Windows Server.
Wenn Ihr Server nur ein FAT-Dateisystem hat und Sie es versäumen, diesen Prozess zu überwachen, fordert Sie das Installationsprogramm auf, eine NTFS-Partition bereitzustellen.
Die aktuelle Version des Windows-SNMP-Dienstes muss ausgeführt werden.
Vor Beginn des Installationsvorgangs muss das Windows-Betriebssystem mit den aktuellen Service Packs aufgerüstet werden.
Bei der Installation auf einem virtuellen Computer, der eine DHCP-Adresse aufweist, oder auf einem physischen oder virtuellen Computer, auf dem SLP nicht übertragen wird, muss der Verzeichnisagent im Netzwerk konfiguriert werden. Weitere Informationen finden Sie in Abschnitt 8.2.2, Erläuterungen zu OpenSLP.
NetIQ empfiehlt, vor der Installation des Identitätsdepots in einer Cluster-Umgebung die folgenden Überlegungen zu lesen:
Es müssen mindestens zwei Windows- oder Linux-Server mit Clustersoftware vorhanden sein.
Die Clustersoftware muss externen gemeinsam genutzten Speicher unterstützen, wobei ausreichend Speicherplatz für alle Identitätsdepot- und NICI-Daten vorhanden sein muss:
Die Identitätsdepot-DIB muss sich im gemeinsam genutzten Clusterspeicher befinden. Die Zustandsdaten für das Identitätsdepot müssen sich im gemeinsam genutzten Speicher befinden, damit sie für den Clusterknoten verfügbar sind, der zurzeit die Dienste ausführt.
Die root-Identitätsdepot-Instanz auf den Clusterknoten muss so konfiguriert sein, dass sie die DIB des gemeinsamen Speichers verwendet.
Auch die NICI-Daten (NetIQ International Cryptographic Infrastructure) müssen gemeinsam genutzt werden, damit serverspezifische Schlüssel zwischen den Clusterknoten reproduziert werden. Die von allen Clusterknoten verwendeten NICI-Daten müssen sich im gemeinsam genutzten Clusterspeicher befinden.
NetIQ empfiehlt, alle weiteren eDirectory-Konfigurationsdaten und Protokolldaten im gemeinsam genutzten Speicher abzulegen.
Sie müssen eine virtuelle IP-Adresse besitzen.
(Bedingt) Wenn Sie eDirectory als Rahmenstruktur für das Identitätsdepot verwenden, unterstützt das Dienstprogramm nds-cluster-config lediglich die root-eDirectory-Instanz. eDirectory bietet keine Unterstützung für die Konfiguration von mehreren Instanzen und die Nicht-root-Installation von eDirectory in einer Cluster-Umgebung.
Weitere Informationen finden Sie in Abschnitt 11.0, Installieren des Identitätsdepots in einer Cluster-Umgebung.