C.2 Procédure d'installation

Cette section explique de façon détaillée comment installer une nouvelle instance des applications d'identité sur le serveur Tomcat et la configurer pour la mise en grappe.

  1. Installez le moteur Identity Manager 4.7. Pour obtenir des instructions détaillées, reportez-vous au Section 9.1, Installation du moteur Identity Manager. Pour un déploiement en production, il est recommandé d'installer le moteur Identity Manager sur un serveur distinct.

  2. Installez la base de données pour les applications d'identité. Vous pouvez utiliser la base de données PostgreSQL installée avec les applications d'identité. Il est toutefois recommandé d'installer la base de données sur un serveur distinct.

  3. Installez et configurez les applications d'identité sur le noeud 1.

    Pendant l'installation, veillez à effectuer les opérations suivantes :

    • Sélectionnez l'option Nouvelle de base de données.

    • Indiquez un ID unique pour le moteur de workflow. Par exemple, Noeud1.

    • Procurez-vous le fichier JAR de base de données disponible sur tous les noeuds de l'application utilisateur dans la grappe. Pour PostgreSQL, le fichier postgresql-9.4.1212.jar se trouve à l'emplacement /opt/netiq/idm/postgres.

    Les applications d'identité chiffrent les données sensibles à l'aide d'une clé principale. Le programme d'installation crée une nouvelle clé principale lors de la configuration des applications d'identité. Dans une grappe, la mise en grappe de l'application utilisateur requiert que chaque instance de cette dernière utilise la même clé principale. La clé principale est stockée sous la propriété com.novell.idm.masterkey du fichier ism-configuration.properties situé dans le répertoire /opt/netiq/idm/apps/tomcat/conf/.

    Pour obtenir des instructions détaillées, reportez-vous à la Section 9.3, Installation des applications d'identité.

  4. Installez et configurez les applications d'identité sur le noeud 2.

    Pendant l'installation, veillez à effectuer les opérations suivantes :

    • Sélectionnez l'option Base de données existante

    • Indiquez un ID unique pour le moteur de workflow. Par exemple, Noeud2.

    • Procurez-vous le fichier JAR de base de données disponible sur tous les noeuds de l'application utilisateur dans la grappe. Pour PostgreSQL, le fichier postgresql-9.4.1212.jar se trouve à l'emplacement /opt/netiq/idm/postgres.

    Après avoir terminé la configuration du noeud 2 de l'application utilisateur, copiez la valeur de la clé principale de du fichier ism-configuration.properties du noeud 1 et remplacez la valeur de la clé principale correspondante du fichier ism-configuration.properties du noeud 2. La clé principale est stockée sous la propriété com.novell.idm.masterkey du fichier ism-configuration.properties (/opt/netiq/idm/apps/tomcat/conf/).

  5. Installez SSPR sur un ordinateur distinct.

    Prenez note des paramètres ci-dessous avant de procéder à l'installation et spécifiez-les au cours du processus d'installation :

    Une fois SSPR installé, démarrez Tomcat et lancez SSPR (http://<IP>:<port>/sspr/private/config/ConfigEditor) et connectez-vous. Cliquez sur Configuration Editor (Éditeur de configuration) > Settings (Paramètres) > Security (Sécurité) > Redirect Whitelist (Liste blanche de redirection).

    1. Cliquez sur Add value (Ajouter une valeur) et spécifiez l'URL suivante :

      OSP : http:<DNS_basculement>:<port>/osp

    2. Enregistrez les modifications apportées.

    3. Sur la page de configuration de SSPR, cliquez sur Settings (Paramètres) > OAuth SSO (SSO OAuth) et modifiez les liens OSP en remplaçant les adresses IP par le nom DNS du serveur sur lequel le logiciel d'équilibrage de charge est installé.

    4. Cliquez sur Settings (Paramètres) > Application et mettez à jour les URL de réacheminement et de déconnexion en remplaçant les adresses IP par le nom DNS du serveur sur lequel le logiciel d'équilibrage de charge est installé.

    5. Pour mettre à jour les informations de SSPR sur le noeud 1, lancez l'utilitaire de configuration situé dans /opt/netiq/idm/apps/UserApplication/configupdate.sh.

    6. Cliquez sur Clients SSO > Self Service Password Reset et spécifiez des valeurs pour les paramètres ID du client, Mot de passe et OSP Auth redirect URL (URL de redirection de l'authentification OSP). Pour plus d'informations, reportez-vous à la Section 22.3, Mise à jour des liens SSPR dans le tableau de bord pour un environnement distribué ou de grappe.

    REMARQUE :vérifiez que les valeurs de ces paramètres sont mises à jour sur le noeud 2.

  6. Sur le noeud 1, arrêtez Tomcat et générez un nouveau fichier osp.jks en spécifiant le nom DNS du serveur de l'équilibreur de charge à l'aide de la commande suivante :

    /opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <mot_de_passe> -keypass <mot_de_passe> -alias osp -validity 1800 -dname "cn=<IP/DNS_équilibreur_de_charge>"

    Par exemple : /opt/netiq/idm/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    REMARQUE :assurez-vous que le mot de passe de clé est identique à celui spécifié lors de l'installation d'OSP. Ce mot de passe, de même que le mot de passe Keystore, peut aussi être modifié à l'aide de l'utilitaire de mise à jour de configuration.

  7. (Conditionnel) Pour vérifier si le fichier osp.jks a été mis à jour avec les modifications, exécutez la commande suivante :

    /opt/netiq/idm/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit

  8. Effectuez une sauvegarde du fichier osp.jks d'origine situé sous /opt/netiq/idm/apps/osp_sspr/osp/ et copiez le nouveau fichier osp.jks à cet emplacement.

  9. Copiez le nouveau fichier osp.jks situé dans /opt/netiq/idm/apps/osp_sspr/osp/ depuis le noeud 1 vers les autres noeuds d'application utilisateur de la grappe.

  10. Lancez l'utilitaire de configuration sur le noeud 1 et, sous l'onglet Client SSO, remplacez l'ensemble des paramètres d'URL, notamment le lien URL vers la page de renvoi et l'URL de redirection OAuth, par le nom DNS de l'équilibreur de charge.

    1. Enregistrez les modifications dans l'utilitaire de configuration.

    2. Pour que cette modification soit prise en compte sur tous les autres noeuds de la grappe, copiez le fichier ism-configuration.properties situé sous /TOMCAT_INSTALLED_HOME/conf à partir du noeud 1 vers les autres noeuds d'application utilisateur de la grappe.

      REMARQUE :vous avez copié le fichier ism.properties depuis le noeud 1 vers les autres noeuds de la grappe. Si vous avez spécifié des chemins d'installation personnalisés lors de l'installation de l'application utilisateur, veillez à corriger les chemins d'accès référentiels en utilisant l'utilitaire de mise à jour de configuration sur les noeuds de la grappe.

      Dans ce scénario, OSP et l'application utilisateur sont installés sur le même serveur ; dès lors, le même nom DNS est utilisé pour les URL de redirection.

      Si OSP et l'application utilisateur sont installés sur des serveurs distincts, remplacez les URL d'OSP par un autre nom DNS pointant vers l'équilibreur de charge. Effectuez cette opération pour tous les serveurs sur lesquels OSP est installé, afin que toutes les requêtes OSP soient distribuées, via l'équilibreur de charge, vers le nom DNS de la grappe OSP. Cela implique d'avoir une grappe distincte pour les noeuds OSP.

  11. Effectuez les opérations suivantes dans le fichier setenv.sh situé dans le répertoire /TOMCAT_INSTALLED_HOME/bin/ :

    1. Pour vérifier la réussite de la liaison mcast_addr, JGroups requiert que la propriété preferIPv4Stack soit définie sur true (vrai). Pour ce faire, ajoutez la propriété JVM « -Djava.net.preferIPv4Stack=true » dans le fichier setenv.sh sur tous les noeuds.

    2. Ajoutez -Dcom.novell.afw.wf.Engine-id="Engine1" dans le fichier setenv.sh sur le noeud 1. De même, ajoutez un nom de moteur unique pour chaque noeud de la grappe. Par exemple, pour le noeud 2, vous pouvez ajouter le nom de moteur Moteur2.

  12. Activez la mise en grappe dans l'application utilisateur.

    1. Démarrez Tomcat sur le noeud 1.

      Ne démarrez aucun autre serveur.

    2. Connectez-vous à l'application utilisateur en tant qu'administrateur.

    3. Cliquez sur l'onglet Administration.

      L'application utilisateur affiche le portail Configuration de l'application.

    4. Cliquez sur Mise en cache.

      L'application utilisateur affiche la page Gestion de la mise en cache.

    5. Définissez le paramètre Grappe activée sur Vrai.

    6. Cliquez sur Enregistrer.

    7. Relancez Tomcat.

    REMARQUE :si vous avez sélectionné les paramètres d'activation locale, répétez cette procédure pour chaque serveur de la grappe.

    La grappe d'application utilisateur utilise JGroups pour procéder à la synchronisation du cache sur les nœuds à l'aide du protocole par défaut UDP. Si vous souhaitez modifier ce protocole pour utiliser TCP, reportez-vous à la section Portal Configuration Tasks (Tâches de configuration du portail) du NetIQ Analyzer for Identity Manager Administration Guide (Guide d'administration de NetIQ Analyzer pour Identity Manager).

  13. Activez l'index des autorisations pour la mise en grappe.

    1. Connectez-vous à iManager sur le noeud 1 et accédez à Afficher les objets.

    2. Sous Système, accédez à l'ensemble de pilotes contenant le pilote d'application utilisateur.

    3. Sélectionnez AppConfig > AppDefs > Configuration.

    4. Sélectionnez l'attribut XMLData et définissez la propriété com.netiq.idm.cis.clustered sur true.

      Par exemple :

      <property>

      <key>com.netiq.idm.cis.clustered</key>

      <value>true</value>

      </property>

    5. Cliquez sur OK.

  14. Activez la grappe Tomcat.

    Ouvrez le fichier Tomcat server.xml situé dans /TOMCAT_INSTALLED_HOME/conf/ et supprimez le commentaire de la ligne ci-dessous dans ce fichier sur tous les noeuds de la grappe :

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

    Pour une configuration avancée de mise en grappe Tomcat, suivez la procédure décrite sur le site https://tomcat.apache.org/tomcat-8.5-doc/cluster-howto.html.

  15. Redémarrez Tomcat sur tous les noeuds.

  16. Configurez le pilote d'application utilisateur pour la mise en grappe.

    Dans une grappe, le pilote d'application utilisateur doit être configuré pour utiliser le nom DNS de l'équilibreur de charge de la grappe. La configuration du pilote d'application utilisateur s'effectue à l'aide d'iManager.

    1. Connectez-vous à l'instance iManager qui gère votre moteur Identity Manager.

    2. Cliquez sur le noeud Identity Manager dans le panneau de navigation d'iManager.

    3. Cliquez sur Présentation d'Identity Manager.

    4. Utilisez la page de recherche pour afficher l'aperçu Identity Manager de l'ensemble de pilotes contenant vos pilotes d'application utilisateur et de service de rôles et de ressources.

    5. Cliquez sur l'indicateur d'état arrondi du pilote dans l'angle supérieur droit de l'icône du pilote :

      Un menu contenant les commandes permettant de démarrer et d'arrêter le pilote, ainsi que de modifier ses propriétés, s'affiche :

    6. Sélectionnez Modifier les propriétés.

    7. Dans la section Paramètres du pilote, définissez la propriété Hôte sur le nom d'hôte ou l'adresse IP du répartiteur.

    8. Cliquez sur OK.

    9. Redémarrez le pilote.

  17. Pour modifier l'URL du pilote de service de rôles et de ressources, répétez les étapes 18a à 18f, puis cliquez sur Configuration du pilote et mettez à jour l'URL de l'application utilisateur avec le nom DNS de l'équilibreur de charge.

  18. Assurez-vous que la persistance de la session est activée pour la grappe créée dans le logiciel d'équilibrage de charge pour les noeuds d'application utilisateur.

  19. Configurez les paramètres du client dans le tableau de bord Identity Manager. Pour plus d'informations, reportez-vous à la section Configuring Client Settings Mode (Mode de configuration des paramètres du client) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur des applications d'identité).