Cette section explique comment préparer l'installation avant d'installer les services REST. Pour installer et configurer REST, vous devez effectuer les tâches suivantes :
Veillez à obtenir un certificat de serveur au format .pfx. Vous pouvez utiliser des certificats de serveur générés par une autorité de certification externe ou iManager. Par exemple, vous pouvez générer un certificat de serveur keys.pfx à l'aide d'iManager. Pour plus d'informations, reportez-vous à la section Création d'un objet Certificat de serveur.
Veillez à obtenir un fichier de certificat d'une autorité de certification au format .pem. Par exemple, vous pouvez utiliser le certificat d'autorité de certification eDirectory (SSCert.pem).
(Facultatif) Installez et configurez OSP avant d'installer les services REST. Pour plus d'informations, reportez-vous à la section Création d'un conteneur OSP.
Créez un fichier de configuration à l'aide des paramètres de configuration ci-dessous. Par exemple, créez un fichier edirapi.conf. Vous pouvez modifier les valeurs du fichier de configuration en fonction de vos besoins.
listen = ":9000" ldapserver = "192.168.1.1:636" ldapuser = "cn=admin,o=novell" pfxpassword = "novell" ldappassword = "novell" osp-token-endpoint = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/getattributes" osp-authorize-url = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/grant" osp-logout-url = "http://10.10.10.10:8543/osp/a/idm/auth/app/logout" osp-redirect-url = "https://10.10.10.10:9000/eDirAPI/v1/edirtree/authcoderedirect" osp-client-id = "edirapi" ospclientpass = "novell" ospcert = "/etc/opt/novell/eDirAPI/conf/ssl/trustedcert/SSCert.pem" bcert = "/etc/opt/novell/eDirAPI/conf/ssl/trustedcert/SSCert.pem" loglevel = "error" check-origin = "true" origin = "https://10.10.10.10:9000,https://192.168.1.1:9000" enableaudit = "true" enableservicestartaudit = "true" enableservicestopaudit = "true" enablelogsessioncreationaudit = "true" enablelogsessionterminationaudit = "true" auditlogmaxsize = "50 MB" edirapilogmaxsize = "50 MB" scope = "ism"
Tableau 27-1 Description des paramètres de configuration dans le fichier de configuration
Paramètre de configuration |
Description |
---|---|
listen |
Spécification du port 9000 en tant que port d'écoute du serveur REST dans le conteneur. |
ldapserver |
Spécification de l'adresse IP du serveur hôte eDirectory. |
ldapuser |
Spécification du nom de l'utilisateur qui dispose des droits d'administration pour l'arborescence eDirectory. |
pfxpassword |
Spécification du mot de passe du fichier de certificat .pfx. |
ldappassword |
Spécification du mot de passe du serveur LDAP. |
osp-token-endpoint |
Cette URL est utilisée pour extraire certains attributs du serveur OSP afin de vérifier la validité du jeton d'authentification. |
osp-authorize-url |
Cette URL est utilisée par l'utilisateur pour fournir les informations d'identification permettant d'obtenir un jeton d'authentification. |
osp-logout-url |
Cette URL permet de mettre fin à la session entre l'utilisateur et le serveur OSP. |
osp-redirect-url |
Le serveur OSP redirige l'utilisateur vers cette URL une fois le jeton d'authentification accordé. |
osp-client-id |
Spécification de l'ID du client OSP qui a été fourni lors de l'enregistrement d'Identity Console avec OSP. |
ospclientpass |
Spécification du mot de passe du client OSP qui a été fourni lors de l'enregistrement d'Identity Console avec OSP. |
ospcert |
Spécification de l'emplacement du certificat CA du serveur OSP. |
bcert |
Spécification de l'emplacement du certificat CA du serveur REST. |
loglevel |
Spécification des niveaux à inclure dans le fichier journal uniquement. Par exemple, Debug, Error, Panic, etc. |
check-origin |
Si ce paramètre a la valeur true, le serveur Identity Console compare la valeur d'origine des requêtes. Les options disponibles sont true (vrai) et false (faux). |
origin |
Si le paramètre check-origin a la valeur true, Identity Console compare la valeur d'origine des requêtes avec les valeurs spécifiées dans ce champ. |
enableaudit |
L'affectation de la valeur true à cette option active l'audit pour les services REST. Les options disponibles sont true (vrai) et false (faux). |
enableservicestartaudit |
L'affectation de la valeur true à cette option permet de recevoir une notification pour les événements de démarrage des services REST. Les options disponibles sont true (vrai) et false (faux). |
enableservicestopaudit |
L'affectation de la valeur true à cette option permet de recevoir une notification pour les événements d'arrêt des services REST. Les options disponibles sont true (vrai) et false (faux). |
enablelogsessioncreationaudit |
L'affectation de la valeur true à cette option permet de recevoir une notification pour les événements de création de session des services REST. Les options disponibles sont true (vrai) et false (faux). |
enablelogsessionterminationaudit |
L'affectation de la valeur true à cette option permet de recevoir une notification pour les événements de fin de session des services REST. Les options disponibles sont true (vrai) et false (faux). |
auditlogmaxsize |
Spécification de la limite maximale de la taille du fichier journal d'audit de chaque service REST. Par défaut, la taille du fichier est de 50 Mo. |
edirapilogmaxsize |
Spécification de la limite maximale de la taille du fichier journal de chaque serveur REST. |
scope |
Spécification de l'étendue du serveur REST lorsqu'il est utilisé en tant que serveur de ressources selon la terminologie OAuth. Par défaut, ce paramètre est défini sur edirapi <nom_arborescence>. |
IMPORTANT :
Les paramètres de configuration liés à OSP ne doivent être utilisés que si vous envisagez d'intégrer OSP avec les services REST.
Pour activer l'audit pour les services REST, vous devez configurer les paramètres liés à l'audit dans le fichier de configuration.
L'URL HTTPS OSP doit être validée avec des certificats contenant une clé 2 048 bits. Cette validation échoue avec les certificats contenant une clé 4 096 ou 8 192 bits.