Le chargeur distant peut héberger les modules d'interface d'application Identity Manager contenus dans les fichiers .so ou .jar. Le chargeur distant Java héberge les modules d'interface pilote Java. Il ne charge ou n'héberge aucun module d'interface pilote (C++) natif.
Avant d'utiliser le chargeur distant, vous devez configurer le module d'interface d'application pour vous connecter au moteur Identity Manager en toute sécurité. Vous devez également configurer le chargeur distant et les pilotes Identity Manager. Pour plus d'informations sur les modules d'interface, reportez-vous à la Présentation des modules d'interface.
Section 11.3.1, Création d'une connexion sécurisée au moteur Identity Manager
Section 11.3.2, Présentation des paramètres de configuration du chargeur distant
Section 11.3.3, Configuration du chargeur distant pour les instances de pilote
Section 11.3.4, Configuration du chargeur distant Java pour les instances de pilote
Section 11.3.5, Configuration des pilotes Identity Manager pour fonctionner avec le chargeur distant
Section 11.3.6, Configuration de l'authentification mutuelle avec le moteur Identity Manager
Section 11.3.8, Démarrage d'une instance de pilote dans le chargeur distant
Section 11.3.9, Arrêt d'une instance de pilote dans le chargeur distant
Vous devez veiller à ce que les transferts de données entre le chargeur distant et le moteur Identity Manager s'effectuent en toute sécurité. NetIQ recommande l'utilisation des protocoles TLS/SSL (Transport Layer Security/Secure Socket Layer) pour les communications. Les connexions TLS/SSL nécessitent un certificat auto-signé dans un fichier Keystore ou KMO. Cette section explique comment créer, exporter et stocker ce certificat.
REMARQUE :utilisez la même version de SSL sur les serveurs hébergeant le moteur Identity Manager et le chargeur distant. Si les versions de SSL sur le serveur et le chargeur distant ne correspondent pas, le serveur renvoie un message d'erreur SSL3_GET_RECORD:wrong version number. Ce message est un simple avertissement ; la communication entre le serveur et le chargeur distant n'est pas interrompue. Toutefois, l'erreur peut prêter à confusion.
Le chargeur distant ouvre un socket client et écoute les connexions à partir du module d'interface distant. Le module d'interface et le chargeur distants effectuent une reconnaissance mutuelle SSL afin d'établir un canal sécurisé. Le module d'interface distant s'authentifie ensuite auprès du chargeur distant. Si la procédure d'authentification du module d'interface distant aboutit, le chargeur distant s'authentifie auprès du module d'interface distant. Une fois que les deux bords communiquent avec une entité autorisée, le trafic de synchronisation commence.
La procédure d'établissement des connexions SSL entre un pilote et le moteur Identity Manager dépend du type de pilote :
Pour un pilote natif, tel que le pilote Active Directory, pointez vers un certificat codé en base64. Pour plus d'informations, reportez-vous à la Gestion des certificats de serveur auto-signés.
Pour un pilote Java, vous devez créer un fichier Keystore. Pour plus d'informations, reportez-vous à la Création d'un fichier Keystore à l'aide de connexions SSL.
REMARQUE :le chargeur distant autorise des méthodes de connexion personnalisées entre le chargeur distant et le module d'interface distant hébergé sur le serveur Identity Manager. Pour configurer un module de connexion personnalisé, reportez-vous à la documentation qui accompagne le module pour plus d'informations sur le contenu d'une chaîne de connexion et ce qui est autorisé dans ce cadre.
Vous pouvez créer et exporter un certificat de serveur auto-signé afin d'assurer une communication sécurisée entre le chargeur distant et le moteur Identity Manager. Pour plus de sécurité, vous pouvez configurer des chiffrements plus forts pour la communication SSL comme spécifié par Suite B. Cette communication requiert l'utilisation de certificats ECDSA (Elliptic Curve Digital Signature Algorithm) pour le chiffrement des données. Lorsque Suite B est activé, le chargeur distant utilise TLS 1.2 comme protocole de communication. Pour plus d'informations sur SuiteB, reportez-vous à la section relative à la technologie de chiffrement SuiteB sur le site Web de la NSA.
Vous pouvez exporter un certificat récemment créé ou utiliser un certificat existant.
REMARQUE :lorsqu'un serveur est intégré à une arborescence, eDirectory crée les certificats par défaut suivants :
SSL CertificateIP
SSL CertificateDNS
Certificats conformes à Suite B
Connectez-vous à NetIQ iManager.
Pour créer un nouveau certificat, procédez comme suit :
Cliquez sur Serveur de certificats NetIQ > Créer un certificat de serveur.
Sélectionnez le serveur devant héberger le certificat.
Spécifiez un surnom pour le certificat. Par exemple, remotecert.
REMARQUE :NetIQ vous recommande de ne pas utiliser d'espaces dans le surnom du certificat. Par exemple, utilisez remotecert plutôt que remote cert.
N'oubliez pas de noter le surnom. Ce surnom est utilisé pour le nom KMO dans les paramètres de connexion à distance du pilote.
Sélectionnez la méthode de création du certificat, puis cliquez sur Suivant.
Vous avez les options suivantes :
Standard : cette option crée un objet Certificat de serveur à l'aide de la plus grande taille de clé possible et signe le certificat de clé publique avec votre autorité de certification organisationnelle.
Personnalisé: cette option crée un objet Certificat de serveur à l'aide des paramètres que vous spécifiez. Elle vous permet de définir un certain nombre de paramètres personnalisés pour l'objet Certificat de serveur. Sélectionnez cette option pour créer des certificats ECDSA pour la communication Suite B.
Importer : cette option crée un objet Certificat de serveur à l'aide des clés et des certificats d'un fichier PKCS12 (PFX). Vous pouvez utiliser cette option en combinaison avec l'option Exporter pour sauvegarder et restaurer un certificat de serveur, ou pour déplacer un objet Certificat de serveur entre des serveurs.
Spécifiez les paramètres du certificat.
Acceptez les autres paramètres par défaut du certificat.
Passez en revue le résumé, cliquez sur Terminer, puis sur Fermer.
Pour exporter un certificat, procédez comme suit :
Dans iManager, accédez à Rôles et tâches > Accès aux certificats NetIQ > Certificats de serveur.
Recherchez et sélectionnez le certificat créé ou le certificat de serveur créé (par exemple, SSL CertificateDNS).
Cliquez sur Exporter.
Pour Certificat d'autorité de certification, sélectionnez OU=organization CA.O=TREEANAME dans le menu déroulant.
Pour Format d'exportation, sélectionnez BASE64 dans le menu déroulant.
Cliquez sur Suivant.
Cliquez sur Enregistrer, puis sur Fermer.
Pour utiliser des connexions SSL entre un pilote Java et le moteur Identity Manager, vous devez créer un fichier Keystore. Un keystore est un fichier Java qui contient des clés de codage et, le cas échéant, des certificats. Si vous voulez utiliser SSL entre le chargeur distant et le moteur Identity Manager et si vous utilisez un module d'interface Java, vous devez créer un fichier Keystore. Les sections suivantes expliquent comment créer un fichier Keystore :
Pour créer un keystore sur n'importe quelle plate-forme, vous pouvez entrer ce qui suit à l'invite de la ligne de commande :
keytool -import -alias trustedroot -file self-signed_certificate_name -keystore filename -storepass keystorepass
Donnez au fichier le nom de votre choix. Par exemple, rdev_keystore.
Dans les environnements Linux, utilisez le fichier create_keystore qui est un script shell qui appelle l'utilitaire Keytool. Le fichier est installé avec rdxml situé par défaut dans le répertoire répertoire_installation/dirxml/bin. Le fichier create_keystore est également inclus dans le fichier dirxml_jremote.tar.gz, situé dans le répertoire \dirxml\java_remoteloader.
Entrez la commande suivante sur la ligne de commande :
create_keystore self-signed_certificate_name keystorename
Par exemple, saisissez une des commandes suivantes :
create_keystore tree-root.b64 mystore create_keystore tree-root.der mystore
Le script create_keystore spécifie un mot de passe codé en dur de « dirxml », pour le mot de passe Keystore. Cela ne pose pas de risque de sécurité ; en effet, seuls un certificat public et une clé publique sont mémorisés dans le keystore.
Pour que le chargeur distant fonctionne avec une instance de pilote qui héberge un module d'interface d'application Identity Manager, vous devez configurer l'instance de pilote. Par exemple, vous devez spécifier les paramètres de connexion et du port de l'instance. Vous pouvez spécifier les paramètres à partir de la ligne de commande dans un fichier de configuration. Une fois l'instance en cours d'exécution, vous pouvez utiliser la ligne de commande pour modifier les paramètres de configuration ou demander au chargeur distant d'exécuter une fonction. Par exemple, vous pouvez choisir d'ouvrir la fenêtre de trace ou de décharger le chargeur distant.
Cette section fournit des informations sur les paramètres de configuration. L'explication indique si un paramètre peut être envoyé à partir de la ligne de commande pour mettre à jour le chargeur distant pendant que l'instance est en cours d'exécution.
Pour plus d'informations sur la configuration d'une nouvelle instance de pilote, reportez-vous à la Section 11.3.3, Configuration du chargeur distant pour les instances de pilote.
Vous pouvez configurer une instance de pilote à partir de la ligne de commande ou dans un fichier de configuration. NetIQ fournit un exemple de fichier config8000.txt pour vous aider à configurer le chargeur distant et les pilotes à utiliser avec votre module d'interface d'application. Le fichier exemple se trouve par défaut dans le répertoire /opt/novell/dirxml/doc. Par exemple, le fichier de configuration peut contenir les lignes suivantes :
-commandport 8000 -connection "port=8090 rootfile=/dirxmlremote/root.pem" -module $DXML_HOME/dirxmlremote/libcskeldrv.so.0.0.0 -trace 3
Utilisez les paramètres suivants :
(Facultatif) Indique une brève description au format de chaîne, par exemple, SAP, que l'application utilise pour le titre de la fenêtre de trace et pour la consignation de l'audit. Par exemple :
-description SAP
-desc SAP
(Conditionnel) Lorsque vous utilisez un pilote Java, spécifie le nom de la classe Java du module d'interface d'application Identity Manager à héberger. Cette option indique à l'application d'utiliser un fichier Keystore Java pour lire les certificats. Par exemple :
-class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim -cl com.novell.nds.dirxml.driver.ldap.LDAPDriverShim
REMARQUE :
Vous ne pouvez pas utiliser cette option si vous spécifiez une option -module.
Si vous utilisez une tabulation comme séparateur dans l'option -class, le chargeur distant ne démarre pas automatiquement. À la place, vous devez le démarrer manuellement. Pour que le chargeur distant démarre correctement, vous pouvez utiliser un espace au lieu d'une tabulation.
Pour plus d'informations sur les noms que vous pouvez spécifier pour cette option, reportez-vous à la section Présentation des noms du paramètre -class Java.
Spécifie le port TCP/IP utilisé par l'instance de pilote à des fins de contrôle. Par exemple, -commandport 8001 ou -cp 8001. La valeur par défaut est 8000.
Pour utiliser plusieurs instances de pilote avec le chargeur distant sur le même serveur, spécifiez des ports de connexion et de commande différents pour chaque instance.
Si l'instance de pilote héberge un module d'interface d'application, le port utilisé par la commande est celui sur lequel une autre instance communique avec l'instance qui héberge le module d'interface. Si l'instance de pilote envoie une commande à une instance qui héberge un module d'interface d'application, le port utilisé par la commande est celui sur lequel écoute l'instance d'hébergement.
Lorsque vous envoyez ce paramètre à partir de la ligne de commande à une instance qui héberge un module d'interface d'application, le port utilisé par la commande est celui sur lequel écoute l'instance d'hébergement. Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
Spécifie un fichier de configuration pour l'instance de pilote. Par exemple :
-config config.txt
Le fichier de configuration peut contenir toutes les options de ligne de commande à l'exception de -config. Les options spécifiées sur la ligne de commande remplacent celles spécifiées dans le fichier de configuration.
Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
Indique les paramètres de connexion au serveur qui héberge le moteur Identity Manager qui exécute le module d'interface distant Identity Manager. La méthode de connexion par défaut est TCP/IP avec SSL.
Pour utiliser plusieurs instances de pilote avec le chargeur distant sur le même serveur, spécifiez des ports de connexion et de commande différents pour chaque instance.
Entrez les paramètres de connexion en utilisant la syntaxe suivante :
-connection "parameter parameter parameter"
Par exemple :
-connection "port=8091 fromaddress=198.51.100.0 rootfile=server1.pem keystore=ca.pem localaddress=198.51.100.0 hostname=198.51.100.0 kmo=remote driver cert"
Utilisez les paramètres suivants pour spécifier les paramètres d'une connexion TCP/IP :
(Facutlatif) Spécifie si le chargeur distant écoute sur une adresse IP locale spécifique. Cette information est utile si le serveur qui héberge le chargeur distant possède plusieurs adresses IP et si ce dernier doit utiliser une seule adresse. Les valeurs suivantes peuvent être utilisées :
address=address number
address='localhost'
Par exemple :
address=198.51.100.0
Si vous ne spécifiez aucune valeur, le chargeur distant écoute sur toutes les adresses IP locales.
Indique le serveur à partir duquel le chargeur distant accepte les connexions. L'application ignore les connexions si elles proviennent d'autres adresses. Indiquez une adresse IP ou le nom DNS du serveur. Par exemple :
fromaddress=198.51.100.0
fromaddress=testserver1.company.com
(Conditionnel) Se produit lors d'un timeout de la reconnaissance mutuelle pour les connexions généralement valides de la part du moteur Identity Manager. Spécifie le délai d'attente (en millisecondes) pour la reconnaissance mutuelle entre le chargeur distant et le moteur Identity Manager. Par exemple :
handshaketimeout=1000
Vous pouvez indiquer un nombre entier supérieur ou égal à zéro. La valeur zéro signifie que la connexion n'expire jamais. La valeur par défaut est de 1000 millisecondes.
Spécifie l'adresse IP ou le nom du serveur sur lequel le chargeur distant s'exécute. Par exemple :
hostname=198.51.100.0
Indique la version du protocole TLS utilisée par le chargeur distant pour se connecter au moteur Identity Manager. Par exemple :
secureprotocol=TLSv1_2
Identity Manager prend en charge TLSv1 et TLSv1_2. Par défaut, le chargeur distant utilise TLSv1_2. Pour utiliser TLSv1, spécifiez cette version dans le paramètre.
(Conditionnel) S'applique uniquement lorsque vous voulez que le chargeur distant communique avec le moteur Identity Manager à l'aide d'algorithmes de chiffrement Suite B.
Pour utiliser Suite B pour la communication, spécifiez true. Cette communication est prise en charge uniquement avec le protocole TLS 1.2.
Si vous essayez de connecter un moteur pour lequel Suite B est activé à un chargeur distant qui ne prend pas en charge TLS 1.2, la reconnaissance mutuelle échoue et la communication n'est pas établie. Par exemple, un chargeur distant 4.5.3, qui ne prend pas en charge TLS 1.2.
(Conditionnel) S'applique uniquement lorsque vous voulez que le chargeur distant et le moteur Identity Manager s'authentifient mutuellement en vérifiant le certificat de clé publique ou le certificat numérique émis par les autorités de certification approuvées ou les certificats auto-signés. Par exemple :
useMutualAuth=true
Spécifie le nom du fichier Keystore Java qui contient le certificat de racine approuvée de l'émetteur du certificat utilisé par le module d'interface distant. Par exemple :
keystore=keystore filename
Il s'agit en général de l'autorité de certification de l'arborescence qui héberge le module d'interface distant.
Indique le nom clé de l'objet Matériel clé qui contient les clés et le certificat utilisés pour les connexions SSL. Par exemple :
kmo=remote driver cert
Indique l'adresse IP à laquelle vous souhaitez lier le socket pour une connexion client. Par exemple :
localaddress=198.51.100.0
Spécifie le port TCP/IP sur lequel le chargeur distant écoute des connexions à partir du module d'interface distant. Pour spécifier le numéro de port par défaut, entrez port=8090.
Spécifie le nom du fichier qui contient le certificat de racine approuvée de l'émetteur du certificat utilisé par le module d'interface distant. Le fichier de certificat doit être au format Base 64 (PEM). Par exemple :
rootfile=trustedcert
Il s'agit en général de l'autorité de certification de l'arborescence qui héberge le module d'interface distant.
Spécifie le mot de passe du fichier Keystore Java que vous avez indiqué pour le paramètre keystore. Par exemple :
storepass=mypassword
Pour que le chargeur distant communique avec un pilote Java, spécifiez une paire clé-valeur en utilisant la syntaxe suivante :
keystore=keystorename storepass=password
Indique le répertoire qui contient les fichiers de données utilisés par le chargeur distant. Par exemple :
-datadir /var/opt/novell/dirxml/rdxml/data
Lorsque vous utilisez cette commande, le processus rdxml change de répertoire pour utiliser le répertoire spécifié. Les fichiers de trace et les autres fichiers pour lesquels aucun chemin n'est explicitement spécifié sont créés dans le répertoire des données.
Indique à l'application d'afficher l'aide.
(Conditionnel) Indique que vous souhaitez définir des mots de passe pour une instance de module d'interface pilote Java.
REMARQUE :utilisez cette option conjointement avec l'option -setpasswords lorsque vous n'indiquez pas non plus de valeur-class.
Indique à l'instance d'activer le débogage Java sur le port spécifié. Par exemple :
-javadebugport 8080
Utilisez cette commande lorsque vous développez des modules d'interface d'application Identity Manager. Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
Indique les paramètres de l'environnement Java. Entrez les paramètres d'environnement Java en utilisant la syntaxe suivante :
-javaparam parameter -jp parameter -jp parameter
REMARQUE :n'utilisez pas ce paramètre avec le chargeur distant Java.
Pour spécifier plusieurs valeurs pour un seul paramètre, placez le paramètre entre guillemets. Par exemple :
-javaparam DHOST_JVM_MAX_HEAP=512M -jp DHOST_JVM_MAX_HEAP=512M -jp "DHOST_JVM_OPTIONS=-Dfile.encoding=utf-8 -Duser.language=en"
Utilisez les paramètres suivants pour configurer l'environnement Java :
Spécifie d'autres chemins dans lesquels la machine virtuelle Java peut rechercher des fichiers de paquetage (.jar) et de classe (.class). Pour spécifier plusieurs chemins de classe pour une machine virtuelle Java Linux, insérez le caractère deux-points entre chaque chemin.
Indique la taille initiale (minimale) des segments de mémoire de la machine virtuelle Java en nombres d'octets au format décimal. Utilisez une valeur numérique suivie de G, M ou K pour représenter le type d'octet. Par exemple :
100M
Si vous ne précisez pas le type d'octet, la taille par défaut utilise les octets. Ce paramètre équivaut à la commande Java -Xms.
Il est prioritaire par rapport à l'option d'attribut Ensemble de pilotes. L'augmentation de la taille initiale des segments de mémoire peut réduire le temps de démarrage et améliorer le débit.
Indique la taille maximale des segments de mémoire de la machine virtuelle Java en nombres d'octets au format décimal. Utilisez une valeur numérique suivie de G, M ou K pour représenter le type d'octet. Par exemple :
100M
Si vous ne précisez pas le type d'octet, la taille par défaut utilise les octets.
Il est prioritaire par rapport à l'option d'attribut Ensemble de pilotes.
Indique les arguments que vous souhaitez utiliser lors du démarrage de l'instance JVM du pilote. Utilisez un espace pour séparer chaque chaîne d'option. Par exemple :
-Xnoagent -Xdebug -Xrunjdwp: transport=dt_socket,server=y, address=8000
L'option d'attribut Ensemble de pilotes est prioritaire par rapport à ce paramètre. Cette variable d'environnement est ajoutée au bas de la liste des pilotes. Pour plus d'informations sur les options valides, reportez-vous à la documentation de JVM.
Spécifie le mot de passe de l'instance de pilote lorsque vous émettez des commandes qui affectent le fonctionnement de l'instance ou modifient les paramètres. Vous devez indiquer le même mot de passe que celui spécifié dans setpasswords pour l'instance que vous souhaitez commander. Par exemple :
-password netiq4
Si vous n'envoyez pas le mot de passe avec vos commandes, l'instance de pilote vous invite à le saisir.
Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
Indique le chemin d'accès au répertoire du fichier d'ID de processus (pidfile) utilisé par le processus du chargeur distant. Par exemple :
-piddir /var/opt/novell/dirxml/rdxml/data
Le fichier pidfile est initialement destiné à être utilisé par les scripts d'initialisation SysV-style. La valeur par défaut est /var/run. Sinon, la valeur par défaut peut également être le répertoire actuel, si le chargeur distant est exécuté par un utilisateur ne disposant pas des droits suffisants pour ouvrir le fichier pidfile pour lecture et écriture à l'emplacement /var/run.
Ce paramètre est similaire à -datadir.
Spécifie le mot de passe de l'instance de pilote et celui de l'objet Pilote Identity Manager du module d'interface distant avec lequel le chargeur distant communique.
Il n'est pas nécessaire de spécifier de mot de passe. En revanche, le chargeur distant vous invite à fournir les mots de passe. Toutefois, si vous spécifiez le mot de passe du chargeur distant, vous devez également indiquer le mot de passe de l'objet Pilote Identity Manager associé au module d'interface distant sur le serveur du moteur Identity Manager. Pour spécifier les mots de passe, utilisez la syntaxe suivante :
-setpasswords Remote_Loader_password driver_object_password
Par exemple :
-setpasswords netiq4 idmobject6
REMARQUE :cette option permet de configurer l'instance de pilote à l'aide des mots de passe spécifiés, mais ne permet pas de charger un module d'interface d'application ni de communiquer avec une autre instance.
(Conditionnel) Lors de l'hébergement d'un module d'interface d'application Identity Manager, vous devez définir les paramètres d'un fichier de trace contenant les messages d'information envoyés par le chargeur distant et le pilote pour cette instance.
Ajoutez les paramètres suivants au fichier de configuration :
Spécifie le niveau des messages que vous voulez afficher dans une fenêtre de trace. Par exemple :
-trace 3
Les niveaux de trace du chargeur distant correspondent à ceux utilisés sur le serveur qui héberge le moteur Identity Manager.
Indique le chemin d'accès au fichier dans lequel les messages de trace sont consignés. Vous devez spécifier un fichier de trace par instance de pilote s'exécutant sur un ordinateur spécifique. Par exemple :
-tracefile /home/trace.txt
L'application consigne des messages dans le fichier si le paramètre -trace est supérieur à zéro. La fenêtre de trace ne doit pas nécessairement être ouverte pour que les messages soient consignés dans le fichier.
Indique une limite à la taille pour le fichier de trace de cette instance. Spécifiez la valeur en kilo-octets, méga-octets, giga-octets ou, à l'aide de l'abréviation correspondant au type d'octet. Par exemple :
-tracefilemax 1000K
-tf 100M
-tf 10G
REMARQUE :
Si la taille des données du fichier de trace est supérieure au maximum spécifié lorsque le chargeur distant est démarré, les données du fichier de trace restent supérieures au maximum spécifié jusqu'à ce que la purge soit terminée sur les 10 fichiers.
Lorsque vous ajoutez cette option dans le fichier de configuration, l'application utilise le nom spécifié pour le fichier de trace et jusqu'à 9 fichiers « roll-over ». Ces fichiers sont nommés en utilisant la base du nom de fichier de trace principal plus “_n, où n peut être un chiffre de 1 à 9.
(Conditionnel) Lorsqu'une instance de pilote existante héberge un module d'interface d'application, cette commande permet de définir un nouveau niveau de messages d'information. Les niveaux de trace correspondent à ceux utilisés sur le serveur Identity Manager. Par exemple :
-trace 3
Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
(Conditionnel) Lorsqu'une instance de pilote existante héberge un module d'interface d'application, cette commande indique à l'instance d'utiliser un fichier de trace ou de fermer un fichier en cours d'utilisation et d'utiliser ce nouveau fichier à la place. Par exemple :
-tracefilechange \temp\newtrace.txt
Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
(Conditionnel) Uniquement lorsque useMutualAuth est défini sur true (vrai) dans le fichier de configuration.
Spécifie le mot de passe Keystore afin d'activer l'authentification mutuelle pour les pilotes du chargeur distant Java uniquement.
Spécifie le mot de passe de la clé afin d'activer l'authentification mutuelle pour les pilotes de chargeur distant natif et Java.
Donne une instruction de déchargement à l'instance de pilote. Si le chargeur distant s'exécute comme un service Win32, cette commande arrête le service.
Vous pouvez envoyer cette commande lorsque le chargeur distant est en cours d'exécution.
Lorsque vous utilisez le paramètre -class pour configurer une instance de pilote pour le chargeur distant et le chargeur distant Java, vous devez spécifier le nom de la classe Java du module d'interface d'application Identity Manager à héberger.
Nom de la classe Java |
Pilote |
---|---|
com.novell.nds.dirxml.driver.dcsshim.DCSShim |
Pilote du service de collecte de données |
com.novell.nds.dirxml.driver.delimitedtext.DelimitedTextDriver |
Pilote pour fichier texte délimité |
be.opns.dirxml.driver.ars.arsremedydrivershim.ARSDriverShim |
Pilote pour Remedy ARS |
com.novell.nds.dirxml.driver.entitlement.EntitlementServiceDriver |
Pilote du service de droits |
com.novell.gw.dirxml.driver.rest.shim.GWdriverShim |
Pilote GroupWise 2014 |
com.novell.idm.drivers.idprovider.IDProviderShim |
Pilote du fournisseur d'ID |
com.novell.nds.dirxml.driver.jdbc.JDBCDriverShim |
Pilote JDBC |
com.novell.nds.dirxml.driver.jms.JMSDriverShim |
Pilote JMS |
com.novell.nds.dirxml.driver.ldap.LDAPDriverShim |
Pilote LDAP |
com.novell.nds.dirxml.driver.loopback.LoopbackDriverShim |
Pilote de service de boucle |
com.novell.nds.dirxml.driver.ebs.user.EBSUserDriver |
Pilote Oracle User Management |
com.novell.nds.dirxml.driver.ebs.hr.EBSHRDriver |
Pilote Oracle HR |
com.novell.nds.dirxml.driver.ebs.tca.EBSTCADriver |
Pilote Oracle TCA |
com.novell.nds.dirxml.driver.msgateway.MSGatewayDriverShim |
Pilote de passerelle système gérée |
com.novell.nds.dirxml.driver.manualtask.driver.ManualTaskDriver |
Pilote de tâches manuelles |
com.novell.nds.dirxml.driver.nisdriver.NISDriverShim |
Pilote NIS |
com.novell.nds.dirxml.driver.notes.NotesDriverShim |
Pilote Notes |
com.novell.nds.dirxml.driver.psoftshim.PSOFTDriverShim |
Pilote PeopleSoft |
com.netiq.nds.dirxml.driver.pum.PUMDriverShim |
Pilote de gestion des utilisateurs privilégiés |
com.novell.nds.dirxml.driver.salesforce.SFDriverShim |
Pilote SalesForce |
com.novell.nds.dirxml.driver.SAPHRShim.SAPDriverShim |
Pilote SAP HR |
com.novell.nds.dirxml.driver.sap.portal.SAPPortalShim |
Pilote SAP Portal |
com.novell.nds.dirxml.driver.sapumshim.SAPDriverShim |
Pilote de gestion des utilisateurs SAP |
com.novell.nds.dirxml.driver.soap.SOAPDriver |
Pilote SOAP |
com.novell.idm.driver.ComposerDriverShim |
Application utilisateur |
com.novell.nds.dirxml.driver.workorder.WorkOrderDriverShim |
Pilote WorkOrder |
Le chargeur distant peut héberger les modules d'interface d'application Identity Manager contenus dans les fichiers .dll, .so ou .jar. Pour que le chargeur distant s'exécute sur un ordinateur Linux, l'application a besoin d'un fichier de configuration comme LDAPShim.txt pour chaque instance de pilote. Vous pouvez également créer ou modifier un fichier de configuration à l'aide des options de ligne de commande.
Par défaut, le chargeur distant se connecte au moteur Identity Manager via TCP/IP en utilisant les protocoles TLS/SSL. Le port 8090 est utilisé comme port TCP/IP par défaut pour cette connexion. Vous pouvez exécuter plusieurs instances de pilote avec le chargeur distant sur le même serveur. Chaque instance héberge une instance du module d'interface d'application Identity Manager. Pour utiliser plusieurs instances du chargeur distant sur le même serveur, spécifiez des ports de connexion et des ports de commande différents pour chaque instance.
REMARQUE :
Le fichier de configuration peut contenir toutes les options de ligne de commande à l'exception de -config.
Lorsque vous ajoutez des paramètres au fichier de configuration, vous pouvez utiliser la forme longue ou abrégée de ce paramètre. Par exemple, -description ou -desc.
La procédure suivante décrit d'abord la forme longue suivie par la courte entre parenthèses. Par exemple -description valeur (-desc valeur).
Pour plus d'informations sur les paramètres mentionnés dans cette section, reportez-vous à la Présentation des paramètres de configuration du chargeur distant.
Pour créer un fichier de configuration :
Dans un éditeur de texte, créez un fichier.
NetIQ fournit un exemple de fichier config8000.txt pour vous aider à configurer le chargeur distant et les pilotes à utiliser avec votre module d'interface d'application. Le fichier exemple se trouve par défaut dans le répertoire /opt/novell/dirxml/doc.
Ajoutez les paramètres de configuration suivants au fichier :
-description (facultative)
-commandport
Paramètres de connexion :
port (obligatoire)
address
fromaddress
handshaketimeout
rootfile
keystore
localaddress
hostname
kmo
secureprotocol
enforceSuiteB
useMutualAuth
Paramètres des fichiers de trace (facultatifs) :
-trace
-tracefile
-tracefilemax
-javaparam
-class ou -module
Pour plus d'informations sur la spécification des valeurs de ces paramètres, reportez-vous à la Section 11.3.2, Présentation des paramètres de configuration du chargeur distant.
Enregistrez le fichier.
Pour que le chargeur distant démarre automatiquement au démarrage de l'ordinateur, enregistrez le fichier dans le répertoire /etc/opt/novell/dirxml/rdxml.
Le chargeur distant Java héberge les modules d'interface pilote Java. Il ne charge ou n'héberge aucun module d'interface pilote (C++) natif.
Pour configurer une nouvelle instance du chargeur distant Java sur des plates-formes Linux, procédez comme suit. Pour plus d'informations sur les paramètres mentionnés dans cette section, reportez-vous à la Présentation des paramètres de configuration du chargeur distant.
Dans un éditeur de texte, créez un fichier.
NetIQ fournit un exemple de fichier config8000.txt pour vous aider à configurer le chargeur distant et les pilotes à utiliser avec votre module d'interface d'application. Le fichier exemple se trouve par défaut dans le répertoire /opt/novell/dirxml/doc.
Ajoutez les paramètres suivants au nouveau fichier de configuration :
-description (facultative)
-class ou -module
Par exemple, -class com.novell.nds.dirxml.driver.ldap.LDAPDriverShim
-commandport
Paramètres de connexion :
port (obligatoire)
address
fromaddress
handshaketimeout
rootfile
keystore
localaddress
hostname
kmo
secureprotocol
enforceSuiteB
useMutualAuth
-java (conditionnel)
-javadebugport
-password
-service
-keypassword
-keystorepassword (uniquement pour les pilotes Java)
Paramètres des fichiers de trace (facultatifs) :
-trace
-tracefile
-tracefilemax
Enregistrez le nouveau fichier de configuration.
Pour que le chargeur distant s'exécute automatiquement au démarrage de l'ordinateur, enregistrez le fichier dans le répertoire /etc/opt/novell/dirxml/jremote.
Ouvrez une invite de commande.
À l'invite, entrez -config nom_fichier, où nom_fichier est le nom du nouveau fichier de configuration. Par exemple :
dirxml_jremote -config filename
Vous pouvez configurer un nouveau pilote ou activer un pilote existant pour qu'il communique avec le chargeur distant. Vous devez configurer un module d'interface d'application Identity Manager à utiliser avec le chargeur distant.
REMARQUE :vous trouverez dans cette section des informations générales sur la configuration des pilotes pour qu'ils communiquent avec le chargeur distant. Pour des informations spécifiques au pilote, reportez-vous au guide d'implémentation du pilote correspondant sur le site Web de la documentation des pilotes Identity Manager.
Pour ajouter ou modifier un objet Pilote dans Designer ou iManager, vous devez configurer des paramètres qui activent l'instance de pilote pour le chargeur distant. Pour plus d'informations sur les paramètres mentionnés dans cette section, reportez-vous à la Présentation des paramètres de configuration du chargeur distant.
Dans Présentation, sélectionnez l'objet Pilote Identity Manager.
Dans les propriétés de l'objet Pilote, procédez comme suit :
Dans le champ Module pilote, sélectionnez Se connecter au chargeur distant.
Dans le champ Mot de passe de l'objet Pilote, spécifiez le mot de passe que le chargeur distant utilise pour s'authentifier auprès du serveur du moteur Identity Manager.
Ce mot de passe doit correspondre à celui de l'objet Pilote défini dans le chargeur distant.
Dans le champ Paramètres de connexion au chargeur distant, spécifiez les informations requises pour la connexion au chargeur distant. Utilisez la syntaxe suivante.
hostname=xxx.xxx.xxx.xxx port=xxxx kmo=certificatename localaddress=xxx.xxx.xxx.xxx
où
Indique l'adresse IP du serveur qui héberge le chargeur distant. Par exemple, hostname=192.168.0.1.
Indique le port sur lequel le chargeur distant écoute. La valeur par défaut est 8090.
Indique le nom clé de l'objet Matériel clé qui contient les clés et le certificat utilisés pour les connexions SSL. Par exemple, kmo=remotecert.
Spécifie l'adresse IP source si plusieurs adresses IP sont configurées sur le serveur qui héberge le moteur Identity Manager.
Dans le champ Mot de passe du chargeur distant, spécifiez le mot de passe que le moteur Identity Manager (ou le module d'interface du chargeur distant) utilise pour s'authentifier auprès du chargeur distant.
Définissez un utilisateur dont le niveau de sécurité est équivalent.
Cliquez sur Suivant, puis sur Terminer.
Vous pouvez configurer l'authentification mutuelle pour sécuriser la communication entre le chargeur distant et le moteur Identity Manager. L'authentification mutuelle utilise des certificats pour la reconnaissance mutuelle, au lieu de mots de passe. Le chargeur distant et le moteur Identity Manager s'authentifient mutuellement en échangeant et en validant le certificat de clé publique ou le certificat numérique émis par les autorités de certification approuvées ou les certificats auto-signés. Si l'authentification mutuelle réussit, le chargeur distant s'authentifie auprès du moteur. Le trafic de synchronisation s'effectue une fois que le chargeur distant et le moteur Identity Manager ont établi avec certitude qu'ils communiquent avec une entité autorisée.
Pour configurer l'authentification mutuelle, effectuez les opérations suivantes :
Pour que l'authentification mutuelle fonctionne correctement, vous avez besoin d'un certificat de serveur pour le moteur et d'un certificat client pour le chargeur distant. Vous pouvez exporter les certificats à partir d'eDirectory ou les importer depuis un fournisseur tiers. Dans la plupart des cas, vous exporterez simplement un certificat de serveur à partir d'eDirectory. Cela dit, dans certains cas, vous voudrez peut-être exporter un certificat client tiers pour le chargeur distant.
Un objet Certificat présent dans le coffre-fort d'identité est appelé KMO (Key Material Object - objet Matériel clé). Cet objet stocke, de façon sécurisée, les données de certificat, notamment la clé publique et la clé privée associées au certificat utilisé pour les connexions SSL. Pour l'authentification mutuelle, vous avez besoin de deux KMO : un pour le moteur et un pour le chargeur distant.
Vous pouvez exporter un KMO existant ou en créer un nouveau, puis l'exporter. La procédure de création d'un KMO côté client et côté serveur est différente.
Pour créer un KMO côté serveur :
Connectez-vous à NetIQ iManager.
Dans le volet gauche, cliquez sur Serveur de certificats NetIQ, puis sélectionnez certificat de serveur.
Sélectionnez le serveur qui doit posséder le certificat que vous avez créé.
Spécifiez un surnom pour le certificat. Par exemple, serverkmo.
Sélectionnez Standard comme méthode de création du certificat, puis cliquez sur Suivant.
Passez en revue le résumé, cliquez sur Terminer, puis sur Fermer.
Pour créer un KMO côté client :
Connectez-vous à NetIQ iManager.
Dans le volet gauche, cliquez sur Serveur de certificats NetIQ, puis sélectionnez certificat de serveur.
Sélectionnez le serveur qui doit posséder le certificat que vous avez créé.
Spécifiez un surnom pour le certificat. Par exemple : clientkmo
Sélectionnez Personnalisée comme méthode de création du certificat, puis cliquez sur Suivant.
Laissez la valeur par défaut pour l'autorité de certification organisationnelle, puis cliquez sur Suivant.
Désélectionnez Activer l'utilisation de clé étendue, puis cliquez sur Suivant.
Acceptez les autres paramètres par défaut du certificat.
Passez en revue le résumé, cliquez sur Terminer, puis sur Fermer.
À partir d'eDirectory, exportez les KMO que le moteur et le chargeur distant vont utiliser pour s'authentifier mutuellement.
Pour exporter le KMO pour le moteur Identity Manager, exécutez l'utilitaire de ligne de commande DirXML (dxcmd) :
dxcmd -user <admin DN> -password <password of admin> -exportcerts <kmoname> <server|client> <java|native|dotnet> <output dir>
où
user correspond au nom d'un utilisateur possédant des droits d'administration sur le pilote.
password correspond au mot de passe de l'utilisateur possédant des droits d'administration sur le pilote.
exportcerts exporte les certificats et les clés privées/publiques à partir d'eDirectory. Vous devez indiquer si vous exportez un certificat de serveur ou client, et spécifier le type de pilote qui utilisera le certificat ainsi qu'un dossier de destination dans lequel la commande stockera ces informations.
Par exemple : dxcmd -user admin.sa.system -password novell -exportcerts serverkmo server java '/home/certs'
Cette commande génère le fichier serverkmo_server.ks dans le répertoire /home/certs/. Le mot de passe par défaut du fichier Keystore est dirxml.
Lorsque vous exécutez la commande dxcmd afin d'exporter le KMO pour le chargeur distant, tenez compte des aspects suivants :
L'utilitaire dxcmd s'exécute en mode LDAP. Lorsque vous l'utilisez pour la première fois, il vous demande d'indiquer si vous approuvez le certificat provenant d'eDirectory. En fonction de votre environnement, vous pouvez choisir d'approuver le certificat pour la session en cours uniquement ou pour les sessions en cours et à venir, d'approuver tous les certificats ou de ne pas approuver le certificat.
Si le chargeur distant s'exécute sur le serveur Identity Manager, exécutez la commande au format LDAP ou à points. Si le chargeur distant est installé sur un serveur distinct, exécutez la commande uniquement au format LDAP.
Spécifiez le paramètre -host dans la commande pour résoudre l'adresse IP ou le nom d'hôte du serveur, afin de pouvoir s'authentifier auprès du serveur Identity Manager.
Exécutez la commande à l'aide de la syntaxe suivante :
dxcmd -dnform ldap -host <adresse_IP_hôte> -user <DN_admin> -password <mot_de_passe_admin> -exportcerts <nom_kmo> <client> <java|native|dotnet> <rép_sortie>
Tableau 11-1 Exemples de différents types de pilotes
Types de pilotes |
Commande |
Sortie |
---|---|---|
Pilote Java |
dxcmd -dnform ldap -host 192.168.0.1 -user cn=admin,ou=sa,o=system -password novell -exportcerts clientkmo client java '/home/certs' |
Fichier clientkmo_client.ks dans le répertoire/home/certs/ Le mot de passe par défaut du fichier Keystore est dirxml. |
Pour utiliser des certificats tiers avec le chargeur distant, vous devez exporter un certificat dans le fichier .pfx et un fichier de racine approuvée au format Base64, puis convertir le certificat .pfx au format utilisé par le pilote. Par exemple, un pilote natif requiert la clé privée et la clé de certificat au format .pem, tandis qu'un pilote Java nécessite que le fichier Keystore soit au format .jks.
Créez un fichier Keystore Java à partir du fichier .pfx. Entrez une commande du type keytool -importkeystore -srckeystore servercert.pfx -srcstoretype pkcs12 -destkeystore servercert.jks -deststoretype JKS.
Pour terminer, spécifiez les informations correspondant au type de pilote dans le fichier de configuration du chargeur distant. Pour plus d'informations, reportez-vous à la section Activation d'un pilote pour l'authentification mutuelle.
Pour activer une communication de pilote pour l'authentification mutuelle, vous devez effectuer les opérations suivantes :
Vous pouvez configurer le pilote à l'aide d'un KMO ou d'un fichier Keystore dans Designer ou iManager.
Dans Designer, vous pouvez configurer le pilote lors de sa création initiale ou après l'avoir créé.
Pour configurer un pilote dans Designer :
Ouvrez votre projet dans Designer.
Dans la palette de la vue Modélisateur, sélectionnez le pilote que vous souhaitez créer.
Faites glisser l'icône du pilote dans la vue Modélisateur.
Suivez les étapes de l'assistant d'installation.
Dans la fenêtre relative au chargeur distant, sélectionnez oui.
Nom d'hôte : spécifiez le nom d'hôte ou l'adresse IP du serveur sur lequel s'exécute le service de chargeur distant du pilote. Par exemple, entrez hostname=192.168.0.1. Si vous ne spécifiez aucune valeur pour ce paramètre, il est défini par défaut sur localhost.
Port : spécifiez le numéro du port sur lequel le chargeur distant est installé et s'exécute pour ce pilote. Le numéro de port par défaut est 8090.
KMO : spécifiez le nom de clé ou le KMO contenant les clés et le certificat utilisés par le chargeur distant pour une connexion SSL. Par exemple, entrez kmo=serverkmo. Si vous configurez l'authentification mutuelle à l'aide du KMO, vous devez spécifier une valeur pour ce paramètre. Vous devez également spécifier une valeur pour le paramètre Root File (fichier racine) dans la section Autres paramètres.
Autres paramètres : définissez les paramètres du chargeur distant que vous souhaitez utiliser. Ces paramètres incluent les informations relatives à la communication d'authentification mutuelle. Tous les paramètres définis doivent être spécifiés au format de paire clé-valeur suivant : paraName1=paraValue1 paraName2=paraValue2
Par exemple, pour keystore, utilisez la syntaxe suivante :
UseMutualAuth=true keystore='/home/certs/serverkmo_server.ks' storepass='dirxml' keypass='dirxml' key='serverkmo'
Par exemple, pour kmo, utilisez la syntaxe suivante :
useMutualAuth=true rootFile='/home/cacert.b64'
Mot de passe distant : Spécifiez le mot de passe du chargeur distant.
Mot de passe du pilote : spécifiez le mot de passe du pilote.
Cliquez sur Suivant.
Suivez les autres instructions de l'assistant jusqu'à ce que l'installation du pilote soit terminée.
Passez en revue le résumé des opérations qui seront effectuées pour créer le pilote, puis cliquez sur Terminer.
Vous pouvez également configurer le pilote après sa création, en procédant comme suit :
Dans la vue Mode plan de Designer, cliquez avec le bouton droit sur le pilote.
Sélectionnez Propriétés.
Dans le volet de navigation, sélectionnez Configuration du pilote.
Sélectionnez Authentification.
Dans la section Authentification du chargeur distant, spécifiez les informations requises pour configurer l'authentification mutuelle entre le chargeur distant et le moteur Identity Manager.
Utilisez la syntaxe suivante pour kmo :
hostname=xxx.xxx.xxx.xxx port=xxxx useMutualAuth=true kmo=certificatename rootFile=<absolute path to the file>
Par exemple :
hostname=192.168.0.1 port=8090 useMutualAuth=true kmo=serverkmo rootFile='/home/cacert.b64'
Utilisez la syntaxe suivante pour keystore :
hostname=xxx.xxx.xxx.xxx port=xxxx useMutualAuth=true keystore=<absolute path to the keystore file> storepass=<keystore password> key=<alias name> keypass= <password for the key>
Par exemple :
hostname=192.168.0.1 port=8097 useMutualAuth=true keystore='/home/certs/serverkmo_server.ks' storepass='dirxml' key='serverkmo' keypass='dirxml'
Pour modifier la configuration dans iManager :
Lancez iManager.
Dans Présentation, sélectionnez l'objet Pilote Identity Manager.
Dans les propriétés de l'objet Pilote, procédez comme suit :
Dans le champ Module pilote, sélectionnez Se connecter au chargeur distant.
Dans le champ Mot de passe de l'objet Pilote, spécifiez le mot de passe utilisé par le chargeur distant pour s'authentifier auprès du moteur.
Ce mot de passe doit correspondre à celui de l'objet Pilote défini dans le chargeur distant.
Dans le champ Paramètres de connexion au chargeur distant, spécifiez les informations requises pour la connexion au chargeur distant.
Utilisez la syntaxe suivante pour kmo :
hostname=xxx.xxx.xxx.xxx port=xxxx useMutualAuth=true kmo=certificatename rootFile=<absolute path to the file>
Par exemple :
hostname=192.168.0.1 port=8090 useMutualAuth=true kmo=serverkmo rootFile='/home/cacert.b64'
Utilisez la syntaxe suivante pour keystore :
hostname=xxx.xxx.xxx.xxx port=xxxx useMutualAuth=true keystore=<absolute path to the keystore file> storepass=<keystore password> key=<alias name> keypass= <password for the key>
Par exemple :
hostname=192.168.0.1 port=8097 useMutualAuth=true keystore='/home/certs/serverkmo_server.ks' storepass='dirxml' key='serverkmo' keypass='dirxml'
(Facultatif) Dans le champ Mot de passe du chargeur distant, spécifiez le mot de passe que le moteur Identity Manager (ou le module d'interface du chargeur distant) utilise pour s'authentifier auprès du chargeur distant.
Cliquez sur Appliquer, puis sur OK.
Vous devez configurer l'instance de pilote dans le fichier de configuration du chargeur distant. Veillez à spécifier le chemin d'accès absolu au répertoire contenant le fichier de clé, le fichier de certificat et le fichier de racine inclus dans le fichier de configuration du chargeur distant pour un pilote.
Modifiez le fichier de configuration du chargeur distant pour un pilote afin d'inclure le contenu permettant d'activer l'authentification mutuelle. Le fichier se trouve dans le répertoire/opt/novell/dirxml/doc.
Pour modifier la configuration :
Connectez-vous au serveur sur lequel vous avez installé le pilote et le chargeur distant.
Arrêtez le chargeur distant.
Par exemple, entrez la commande suivante :
rdxml -config /home/drivershim.conf -u
Spécifiez le mot de passe Keystore ou de clé en fonction du type de chargeur distant :
spécifiez la combinaison du mot de passe Keystore et du mot de passe de la clé à l'aide de la syntaxe suivante :
dirxml_jremote -config /home/drivershim.conf -ksp <keystorepassword> -kp <keypassword>
Exemples :
dirxml_jremote -config /home/drivershim.conf -ksp dirxml -kp dirxml
spécifiez le mot de passe de la clé à l'aide de la syntaxe suivante :
dirxml_jremote -config /home/drivershim.conf -kp <keypassword>
Exemples :
dirxml_jremote -config /home/drivershim.conf -kp dirxml
Dans un éditeur de texte, ouvrez le fichier de configuration du chargeur distant pour le pilote.
Ajoutez au fichier le contenu nécessaire pour activer l'authentification mutuelle.
Par exemple, pour un pilote Java, ajoutez cette entrée :
-connection "port=8090 useMutualAuth=true keystore='/home/certs/clientkmo_client.ks' key='clientkmo'
Par exemple, pour un pilote natif, ajoutez cette entrée :
-connection "useMutualAuth=true port=8090 rootfile='/home/certs/trustedcert.b64' certfile='/home/certs/clientkmo_clientcert.pem' keyfile='/home/certs/clientkmo_clientkey.pem' certform=PEM keyform=PEM"
Enregistrez et fermez le fichier.
Redémarrez le pilote.
Démarrez le chargeur distant. Par exemple :
dirxml_remote -config config.txt
Démarrez le module d'interface distant à l'aide d'iManager.
Confirmez que le chargeur distant fonctionne correctement.
Arrêtez le chargeur distant. Par exemple :
dirxml_remote -config config.txt -u
Vous pouvez configurer chaque plate-forme pour démarrer automatiquement une instance de pilote au démarrage de l'ordinateur hôte. Vous pouvez également démarrer une instance manuellement.
NetIQ propose deux méthodes pour démarrer une instance de pilote pour le chargeur distant :
Vous pouvez configurer une instance de pilote pour le chargeur distant afin qu'il démarre automatiquement au démarrage de l'ordinateur. Placez votre fichier de configuration dans le répertoire /etc/opt/novell/dirxml/rdxml.
Le composant binaire rdxml prend en charge la fonctionnalité de ligne de commande pour le chargeur distant. Par défaut, ce composant se trouve dans le répertoire /usr/bin/.
Ouvrez une invite de commande.
(Conditionnel) Pour spécifier les mots de passe d'authentification de l'instance de pilote auprès du moteur Identity Manager, entrez l'une des commandes suivantes :
Chargeur distant : rdxml -config filename –keystorepassword <mot_de_passe_Keystore> - keypassword <mot_de_passe_clé>
Chargeur distant Java : dirxml_jremote -config filename –keystorepassword <mot_de_passe_Keystore> - keypassword <mot_de_passe_clé>
(Conditionnel) Si l'authentification mutuelle est activée entre l'instance de pilote du chargeur distant et le moteur Identity Manager, entrez une des commandes suivantes pour spécifier les mots de passe de certificat :
Chargeur distant : rdxml -config filename –keystorepassword <mot_de_passe_Keystore> -keypassword <mot_de_passe_clé>
Chargeur distant Java : dirxml_jremote -config filename -keypassword <mot_de_passe_clé>
Pour démarrer l'instance de pilote, entrez la commande suivante :
rdxml -config nom_fichier
Connectez-vous à iManager, puis démarrez le pilote.
Confirmez que le chargeur distant fonctionne correctement.
Utilisez la commande ps ou un fichier de trace pour savoir si la commande et les ports de connexion écoutent.
Le chargeur distant ne charge le module d'interface d'application Identity Manager que lorsqu'il communique avec le module d'interface distant sur le serveur du moteur Identity Manager. Cela signifie notamment que le module d'interface d'application se ferme dès que le chargeur distant perd la communication avec le serveur.
Chaque plate-forme dispose d'une méthode distincte pour arrêter une instance de pilote dans le chargeur distant.
REMARQUE :
Si vous exécutez plusieurs instances du chargeur distant, ajoutez l'option -cp port_commande pour vous assurer que le chargeur distant puisse arrêter l'instance appropriée.
Lorsque vous arrêtez une instance de pilote, vous devez disposer de droits suffisants ou indiquer le mot de passe du chargeur distant. Vous avez des droits suffisants pour l'arrêter. Vous saisissez un mot de passe, mais vous vous rendez compte qu'il est incorrect. Le chargeur distant s'arrête tout de même, car il n'accepte pas réellement le mot de passe. En fait, il l'ignore puisqu'il est redondant dans ce cas. Si vous exécutez le chargeur distant comme application et non comme service, le mot de passe est utilisé.
Pour arrêter une instance de pilote, procédez comme suit :
Entrez la commande rdxml -config nom_fichier -u. Par exemple :
rdxml -config config.txt -u
Entrez la commande dirxml_jremote -config nom_fichier -u. Par exemple :
dirxml_jremote -config config.txt -u