Vous pouvez installer le moteur Identity Manager en tant qu'utilisateur non-root afin d'améliorer la sécurité de votre serveur Linux. Vous ne pouvez pas installer le moteur Identity Manager en tant qu'utilisateur non-root si vous avez installé le coffre-fort d'identité en tant que root. Si vous souhaitez installer le moteur en tant qu'utilisateur non-root, vous devez effectuer les étapes suivantes :
Vérifiez que NICI est installé. Pour plus d'informations, reportez-vous à la section Installation de l'infrastructure NICI.
Effectuez une installation non-root du coffre-fort d'identité. Pour plus d'informations, reportez-vous à la section Exécution d'une installation non-root du coffre-fort d'identité.
Effectuez une installation non-root du moteur Identity Manager. Pour plus d'informations, reportez-vous à la section Exécution d'une installation non-root du moteur.
Vous devez installer NICI avant de procéder à l'installation du coffre-fort d'identité. Étant donné que les paquetages NICI requis sont utilisés sur l'ensemble du système, il est recommandé d'installer les paquetages nécessaires en tant qu'utilisateur root. Si nécessaire, vous pouvez toutefois déléguer l'accès à un autre compte à l'aide de sudo et utiliser ce compte pour installer les paquetages NICI.
À partir de l'image iso que vous avez montée, accédez au répertoire /IDVault/setup/.
Exécutez la commande suivante :
rpm -ivh nici64-3.1.0-1.00.x86_64.rpm
Vérifiez que NICI est défini en mode serveur. Saisissez la commande suivante :
/var/opt/novell/nici/set_server_mode64
Il s'agit d'une étape obligatoire pour s'assurer que le processus de configuration du coffre-fort d'identité n'échoue pas.
Cette section décrit comment utiliser le fichier Tarball pour installer le coffre-fort d'identité. Lorsque vous extrayez le fichier, le système crée les répertoires etc, opt et var.
Connectez-vous sous l'identité d'un utilisateur sudo disposant des droits nécessaires sur l'ordinateur sur lequel vous souhaitez installer le coffre-fort d'identité.
REMARQUE :vous pouvez aussi vous connecter en tant qu'utilisateur root si vous souhaitez spécifier un chemin d'installation personnalisé.
À partir de l'image iso que vous avez montée, accédez au répertoire /IDVault/.
Créez un répertoire et copiez-y le fichier eDir_NonRoot.tar.gz. Par exemple, /home/user/install/eDirectory.
Utilisez la commande suivante pour extraire le fichier :
tar -zxvf eDir_NonRoot.tar.gz
Pour exporter manuellement les chemins des variables d'environnement, entrez la commande suivante :
export LD_LIBRARY_PATH=custom_location/eDirectory/opt/novell/eDirectory/ lib64:custom_location/eDirectory/opt/novell/eDirectory/lib64/ndsmodules: custom_location/eDirectory/opt/novell/lib64:$LD_LIBRARY_PATH export PATH=custom_location/eDirectory/opt/novell/eDirectory/ bin:custom_location/eDirectory/opt/novell/eDirectory/sbin:/opt/novell/ eDirectory/bin:$PATH export MANPATH=custom_location/eDirectory/opt/novell/man:custom_location/ eDirectory/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=custom_location/eDirectory/opt/novell/eDirectory/ share/locale:$TEXTDOMAINDIR
Pour utiliser le script ndspath afin d'exporter les chemins des variables d'environnement, vous devez ajouter le script ndspath devant l'utilitaire. Procédez comme suit :
À partir du répertoire emplacement_personnalisé/eDirectory/opt, exécutez l'utilitaire à l'aide de la commande suivante :
custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath utility_name_with_parameters
Exportez les chemins dans le shell actuel à l'aide de la commande suivante :
. custom_location/eDirectory/opt/novell/eDirectory/bin/ndspath
Exécutez les utilitaires normalement.
Ajoutez les instructions d'exportation du chemin à la fin du script /etc/profile, ~/bashrc ou autre script similaire.
Cette étape vous permet de démarrer les utilitaires directement lorsque vous vous connectez ou ouvrez un nouveau shell.
Configurez le coffre-fort d'identité à l'aide de l'une des méthodes suivantes :
Utilisez l'utilitaire ndsconfig.
ndsconfig new [-t <treename>] [-n <server_context>] [-a <admin_FDN>] [-w <admin password>] [-i] [-S <server_name>] [-d <path_for_dib>] [-m <module>] [e] [-L <ldap_port>] [-l <SSL_port>] [-o <http_port>] -O <https_port>] [-p <IP address:[port]>] [-c] [-b <port_to_bind>] [-B <interface1@port1>, <interface2@port2>,..] [-D <custom_location>] [--config-file <configuration_file>] [--configure-eba-now <yes/no>]
où -t désigne le nom de l'arborescence à laquelle le serveur doit être ajouté ;
-n spécifie le contexte du serveur auquel l'objet Serveur est ajouté ;
-a correspond au nom distinctif complet de l'objet Utilisateur disposant des droits Superviseur sur le contexte dans lequel l'objet Serveur et les services Annuaire doivent être créés ;
-s désigne le nom du serveur ;
-d indique le chemin du répertoire dans lequel sont enregistrés les fichiers de base de données ;
-m correspond au nom du module.
Vous devez spécifier les mêmes valeurs que lors du processus de configuration.
Par exemple :
ndsconfig new -t novell-tree -n novell -a admin.novell -S linux1 -d /home/ mary/inst1/data -b 1025 -L 1026 -l 1027 -o 1028 -O 1029 -D /home/inst1/var --config-file /home/inst1/nds.conf --configure-eba-now yes
Les numéros de port entrés doivent être compris entre 1024 et 65535. Ceux inférieurs à 1024 sont normalement réservés à l'utilisateur privilégié et aux applications standard. Par conséquent, le port par défaut 524 ne peut pas être utilisé pour des applications eDirectory.
Les applications suivantes pourraient être interrompues :
les applications ne permettant pas de spécifier le port du serveur cible ;
les anciennes applications qui utilisent NCP et qui sont exécutées comme racine pour le port 524.
Utilisez l'utilitaire ndsmanage pour configurer une nouvelle instance. Pour plus d'informations, reportez-vous à la section Création d'une instance via ndsmanage du Guide d'installation de NetIQ eDirectory.
Lorsque vous utilisez cette méthode, vous ne pouvez pas installer les composants suivants :
Chargeur distant : pour installer le chargeur distant en tant qu'utilisateur non-root, utilisez le chargeur distant Java. Pour plus d'informations, reportez-vous à la section Installation du chargeur distant Java.
Pilote de compte Linux : nécessite des privilèges root pour fonctionner.
REMARQUE :lorsque vous installez le moteur Identity Manager en tant qu'utilisateur non-root, les fichiers d'installation sont situés sous le répertoire des utilisateurs non-root. Par exemple : /home/utilisateur, où utilisateur est non-root. Les fichiers d'installation ne sont pas nécessaires pour exécuter Identity Manager. Vous pouvez les supprimer une fois l'installation terminée.
Pour installer le moteur Identity Manager en tant qu'utilisateur non-root :
Connectez-vous à l'aide du compte utilisateur non-root employé pour installer le coffre-fort d'identité.
Le compte utilisateur doit disposer d'un accès en écriture aux répertoires et aux fichiers d'installation non-root du coffre-fort d'identité.
Accédez à l'emplacement où vous avez monté le fichier Identity_Manager_4.8_Linux.iso.
À partir de l'emplacement de montage, accédez au répertoire /IDM.
Exécutez la commande suivante :
./idm-nonroot-install.sh
Les informations suivantes permettent de terminer l'installation :
Indiquez le répertoire dans lequel se trouve l'installation non-root d'eDirectory. Par exemple, /home/user/install/eDirectory.
S'il s'agit du premier serveur Identity Manager installé dans cette instance d'eDirectory, entrez Y pour étendre le schéma. Si le schéma n'est pas étendu, Identity Manager ne fonctionne pas.
Vous êtes invité à étendre le schéma de chaque instance d'eDirectory appartenant à l'utilisateur non-root hébergée par l'installation non-root d'eDirectory.
Si vous choisissez d'étendre le schéma, indiquez le nom distinctif (DN) complet de l'utilisateur eDirectory qui dispose des droits nécessaires pour étendre le schéma. Pour pouvoir étendre le schéma, l'utilisateur doit disposer du droit Superviseur sur l'ensemble de l'arborescence. Pour plus d'informations sur l'extension du schéma en tant qu'utilisateur non-root, reportez-vous au fichier schema.log situé dans le répertoire data de chaque instance d'eDirectory.
Exécutez le programme /opt/novell/eDirectory/bin/idm-install-schema pour étendre le schéma sur d'autres instances d'eDirectory une fois l'installation terminée.
Pour terminer le processus d'installation, passez à la section Exécution d'une installation en tant qu'utilisateur non-root.