18.3 Procédure d'installation

Cette section explique de façon détaillée comment installer une nouvelle instance d'Identity Applications sur le serveur Tomcat et la configurer pour la mise en grappe.

  1. Installez le moteur Identity Manager. Pour un déploiement en production, il est recommandé d'installer le moteur Identity Manager sur un serveur distinct.

  2. Installez la base de données pour Identity Applications. Vous pouvez utiliser la base de données PostgreSQL installée avec Identity Applications. Il est toutefois recommandé d'installer la base de données sur un serveur distinct.

  3. Installez et configurez Identity Applications sur le noeud 1.

    Pendant la configuration, veillez à effectuer les opérations suivantes :

    • Sélectionnez l'option Nouvelle de base de données.

    • Indiquez un ID unique pour le moteur de workflow. Par exemple, Noeud1.

    • Procurez-vous le fichier JAR de base de données disponible sur tous les noeuds de l'application utilisateur dans la grappe. Pour PostgreSQL, le fichier postgresql-9.4.1212.jar se trouve à l'emplacement /opt/netiq/idm/postgres.

    Identity Applications chiffre les données sensibles à l'aide d'une clé principale. Le programme d'installation crée une nouvelle clé principale lors de la configuration d'Identity Applications. Dans une grappe, la mise en grappe de l'application utilisateur requiert que chaque instance de cette dernière utilise la même clé principale. La clé principale est stockée sous la propriété com.novell.idm.masterkey du fichier ism-configuration.properties situé dans le répertoire /opt/netiq/idm/apps/tomcat/conf/.

  4. Installez et configurez Identity Applications sur le noeud 2.

    Pendant la configuration, veillez à effectuer les opérations suivantes :

    • Sélectionnez l'option Base de données existante

    • Indiquez un ID unique pour le moteur de workflow. Par exemple, Noeud2.

    • Procurez-vous le fichier JAR de base de données disponible sur tous les noeuds de l'application utilisateur dans la grappe. Pour PostgreSQL, le fichier postgresql-9.4.1212.jar se trouve à l'emplacement /opt/netiq/idm/postgres.

    Après avoir terminé la configuration du noeud 2 de l'application utilisateur, copiez la valeur de la clé principale du fichier ism-configuration.properties du noeud 1 et remplacez la valeur de la clé principale correspondante du fichier ism-configuration.properties du noeud 2. La clé principale est stockée sous la propriété com.novell.idm.masterkey du fichier ism-configuration.properties (/opt/netiq/idm/apps/tomcat/conf/).

  5. Sur le serveur de l'équilibreur de charge, démarrez une instance d'équilibreur de charge avec le numéro de port d'Identity Applications et une autre instance d'équilibreur de charge avec le numéro de port du moteur de rendu de formulaire pour tous les noeuds mis en grappe. Exemples :

    • ./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543

    • ./balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600

  6. Installez SSPR sur un ordinateur distinct.

    Une fois SSPR installé, lancez SSPR (https://<IP>:<port>/sspr/private/config/editor) et connectez-vous. Cliquez sur Configuration Editor (Éditeur de configuration) > Settings (Paramètres) > Security (Sécurité) > Web Security (Sécurité Web) > Redirect Whitelist (Liste blanche de redirection).

    1. Cliquez sur Add value (Ajouter une valeur) et spécifiez l'URL suivante :

      https://<DNS du basculement>:<port>/osp

    2. Enregistrez les modifications apportées.

    3. Sur la page SSPR Configuration (Configuration de SSPR), cliquez sur Settings (Paramètres) > Single Sign On (SSO) Client (Client SSO [Single Sign-on]) > OAuth, puis modifiez les liens OAuth Login URL (URL de connexion OAuth), OAuth Code Resolve Service URL (URL du service de résolution de code OAuth) et OAuth Profile Service URL (URL du service de profil OAuth) en remplaçant les adresses IP par le nom DNS du serveur hébergeant le logiciel de l'équilibreur de charge.

    4. Cliquez sur Settings (Paramètres) > Application > Application (Application), puis mettez à jour les valeurs Forward URL (URL de transfert) et Logout URL (URL de déconnexion) en remplaçant les adresses IP par le nom DNS du serveur sur lequel est installé le logiciel de l'équilibreur de charge. Mettez à jour l'URL du site en fournissant l'adresse IP ou le nom d'hôte du serveur/système sur lequel SSPR est installé.

    5. Pour mettre à jour les informations de SSPR sur le noeud 1, lancez l'utilitaire de configuration situé à l'emplacement /opt/netiq/idm/apps/configupdate/

      ./configupdate.sh

      REMARQUE :vous devez exécuter le fichier configudate.sh uniquement à partir du répertoire configupdate. L'exécution de configupdate.sh à partir d'un emplacement personnalisé entraîne des échecs.

    6. Cliquez sur SSO clients (Clients SSO) > Self Service Password Reset et spécifiez des valeurs pour les paramètres Client ID (ID du client), Password (Mot de passe) et OSP Auth redirect URL (URL de redirection de l'authentification OSP). Pour plus d'informations, reportez-vous à la Self Service Password Reset.

    REMARQUE :vérifiez que les valeurs de ces paramètres sont mises à jour sur le noeud 2.

  7. Sur le noeud 1, arrêtez Tomcat et générez un nouveau fichier osp.jks en spécifiant le nom DNS du serveur de l'équilibreur de charge à l'aide de la commande suivante :

    /opt/netiq/common/jre/bin/keytool -genkey -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <mot_de_passe> -keypass <mot_de_passe> -alias osp -validity 1800 -dname "cn=<IP/DNS_équilibreur_de_charge>"

    Par exemple : /opt/netiq/common/jre/bin/keytool -genkey -storetype PKCS12 -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    REMARQUE :assurez-vous que le mot de passe de clé est identique à celui spécifié lors de l'installation d'OSP. Ce mot de passe, de même que le mot de passe Keystore, peut aussi être modifié à l'aide de l'utilitaire de mise à jour de configuration.

  8. (Conditionnel) Pour vérifier si le fichier osp.jks a été mis à jour avec les modifications, exécutez la commande suivante :

    /opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit

  9. Effectuez une sauvegarde du fichier osp.jks d'origine situé sous /opt/netiq/idm/apps/osp/ et copiez le nouveau fichier osp.jks à cet emplacement.

  10. Copiez le nouveau fichier osp.jks situé dans /opt/netiq/idm/apps/osp/ depuis le noeud 1 vers les autres noeuds d'application utilisateur de la grappe.

  11. Sur chaque noeud mis en grappe :

    1. Accédez au répertoire /opt/netiq/idm/apps/sites et modifiez le fichier ServiceRegistry.json pour ajouter les détails de l'équilibreur de charge.

      {"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]}

    2. Accédez au répertoire /opt/netiq/idm/apps/sites/ et modifiez le fichier config.ini pour ajouter le DNS et le numéro de port de l'équilibreur de charge.

      OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2
OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html
ClientID=forms
OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout

  12. Lancez l'utilitaire de configuration sur le noeud 1 et, sous l'onglet Client SSO, remplacez l'ensemble des paramètres d'URL, notamment le lien URL vers la page de renvoi et l'URL de redirection OAuth, par le nom DNS de l'équilibreur de charge.

    1. Enregistrez les modifications dans l'utilitaire de configuration. Vérifiez que les modifications sont prises en compte dans le fichier ism-configuration properties et apportez les corrections nécessaires si des URL pointent encore vers le DNS et le port du noeud 1.

    2. Pour que cette modification soit prise en compte sur tous les autres noeuds de la grappe, copiez le fichier ism-configuration.properties situé à l'emplacement /TOMCAT_INSTALLED_HOME/conf à partir du noeud 1 vers les autres noeuds d'application utilisateur de la grappe.

      REMARQUE :

      • Vous avez copié le fichier ism-configuration.properties depuis le noeud 1 vers les autres noeuds de la grappe. Si vous avez spécifié des chemins d'installation personnalisés lors de l'installation de l'application utilisateur, veillez à corriger les chemins d'accès référentiels en utilisant l'utilitaire de mise à jour de configuration sur les noeuds de la grappe.

      • Après avoir copié le fichier ism-configuration.properties d'un noeud à l'autre, assurez-vous que le fichier dispose d'autorisations novlua:novlua.

      • Dans ce scénario, OSP et l'application utilisateur sont installés sur le même serveur ; dès lors, le même nom DNS est utilisé pour les URL de redirection.

      • Si OSP et l'application utilisateur sont installés sur des serveurs distincts, remplacez les URL d'OSP par un autre nom DNS pointant vers l'équilibreur de charge. Effectuez cette opération pour tous les serveurs sur lesquels OSP est installé, afin que toutes les requêtes OSP soient distribuées, via l'équilibreur de charge, vers le nom DNS de la grappe OSP. Cela implique d'avoir une grappe distincte pour les noeuds OSP.

  13. Assignez l'autorisation novlua au fichier osp.jks :

    chown novlua:novlua osp.jks

  14. Effectuez les opérations suivantes dans le fichier setenv.sh situé dans le répertoire /TOMCAT_INSTALLED_HOME/bin/ :

    1. Pour vérifier la réussite de la liaison mcast_addr, JGroups requiert que la propriété preferIPv4Stack soit définie sur true (vrai). Pour ce faire, ajoutez la propriété JVM « -Djava.net.preferIPv4Stack=true » dans le fichier setenv.sh de tous les noeuds.

    2. Ajoutez -Dcom.novell.afw.wf.engine-id="Engine1" au fichier setenv.sh sur le noeud 1. De même, ajoutez un nom de moteur unique pour chaque noeud de la grappe. Par exemple, pour le noeud 2, vous pouvez ajouter le nom de moteur Moteur2.

  15. Activez la mise en grappe dans l'application utilisateur.

    1. Démarrez Tomcat sur le noeud 1.

      Ne démarrez aucun autre serveur.

    2. Connectez-vous à l'application utilisateur en tant qu'administrateur de celle-ci.

    3. Cliquez sur l'option Configuration > Mise en cache et grappe.

      L'application utilisateur affiche la page Gestion de la mise en cache.

    4. Cliquez sur Configuration du cache de la grappe et sélectionnez Vrai pour la propriété Grappe activée.

    5. Cliquez sur Enregistrer.

    6. Relancez Tomcat.

    REMARQUE :si vous avez sélectionné les paramètres d'activation locale, répétez cette procédure pour chaque serveur de la grappe.

    La grappe d'application utilisateur utilise JGroups pour procéder à la synchronisation du cache sur les noeuds à l'aide du protocole par défaut UDP. Si vous souhaitez modifier ce protocole pour utiliser TCP, reportez-vous à la section Configuring User Application Caching to use TCP (Configuration de la mise en cache de l'application utilisateur pour utiliser TCP) du manuel NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur d'Identity Applications).

  16. Activez l'index des autorisations pour la mise en grappe.

    1. Connectez-vous à iManager sur le coffre-fort d'identité et accédez à Afficher les objets.

    2. Sous Système, accédez à l'ensemble de pilotes contenant le pilote d'application utilisateur.

    3. Sélectionnez AppConfig > AppDefs > Configuration.

    4. Sélectionnez l'attribut XMLData et définissez la propriété com.netiq.idm.cis.clustered sur true.

      Par exemple :

      <property>

      <key>com.netiq.idm.cis.clustered</key>

      <value>true</value>

      </property>

    5. Cliquez sur OK.

    6. Cliquez sur Appliquer > OK.

  17. Activez la grappe Tomcat.

    Ouvrez le fichier Tomcat server.xml situé dans /TOMCAT_INSTALLED_HOME/conf/ et supprimez le commentaire de la ligne ci-dessous dans ce fichier sur tous les noeuds de la grappe :

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

    Pour une configuration avancée de mise en grappe Tomcat, suivez la procédure décrite sur le site https://tomcat.apache.org/tomcat-8.5-doc/cluster-howto.html.

  18. Redémarrez Tomcat sur tous les noeuds.

  19. Configurez le pilote d'application utilisateur pour la mise en grappe.

    Dans une grappe, le pilote d'application utilisateur doit être configuré pour utiliser le nom DNS de l'équilibreur de charge de la grappe. La configuration du pilote d'application utilisateur s'effectue à l'aide d'iManager.

    1. Connectez-vous à l'instance iManager qui gère votre moteur Identity Manager.

    2. Cliquez sur le noeud Identity Manager dans le panneau de navigation d'iManager.

    3. Cliquez sur Présentation d'Identity Manager.

    4. Utilisez la page de recherche pour afficher l'aperçu Identity Manager de l'ensemble de pilotes contenant vos pilotes d'application utilisateur et de service de rôles et de ressources.

    5. Cliquez sur l'indicateur d'état arrondi du pilote dans l'angle supérieur droit de l'icône du pilote :

      Un menu contenant les commandes permettant de démarrer et d'arrêter le pilote, ainsi que de modifier ses propriétés, s'affiche :

    6. Sélectionnez Modifier les propriétés.

    7. Dans la section Paramètres du pilote, modifiez la propriété Hôte en indiquant le nom d'hôte ou l'adresse IP de l'équilibreur de charge.

    8. Cliquez sur OK.

    9. Redémarrez le pilote.

  20. Pour modifier l'URL du pilote de service de rôles et de ressources, répétez les étapes 19a à 19f, puis cliquez sur Configuration du pilote et mettez à jour l'URL de l'application utilisateur avec le nom DNS de l'équilibreur de charge.

  21. Assurez-vous que la persistance de la session est activée pour la grappe créée dans le logiciel d'équilibrage de charge pour les noeuds d'application utilisateur.

  22. Configurez les paramètres du client dans le tableau de bord Identity Manager. Pour plus d'informations, reportez-vous à la section Configuring Client Settings Mode (Mode de configuration des paramètres du client) du NetIQ Identity Manager - Administrator's Guide to the Identity Applications (NetIQ Identity Manager - Guide de l'administrateur d'Identity Applications).