Identity Manager prend en charge la configuration de SSPR dans un environnement de grappe Tomcat.
Pour mettre à jour les informations SSPR sur le premier noeud de la grappe, lancez l'utilitaire de configuration à partir de /opt/netiq/idm/apps/configupdate/configupdate.sh.
Dans la fenêtre qui s'affiche, cliquez sur SSO clients (Clients SSO) > Self Service Password Reset et spécifiez des valeurs pour les paramètres Client ID (ID de client), Password (Mot de passe) et OSP Auth redirect URL (URL de redirection de l'authentification OSP).
Effectuez les opérations de configuration suivantes sur les noeuds de la grappe :
Pour mettre à jour le lien Mot de passe oublié avec l'adresse IP de SSPR, connectez-vous à l'application utilisateur sur le premier noeud, puis cliquez sur Administration > Mot de passe oublié.
Pour plus d'informations sur la configuration de SSPR, reportez-vous à la section Configuration de la gestion des mots de passe oubliés.
Pour modifier le lien Modifier mon mot de passe, reportez-vous à la section Mise à jour des liens SSPR dans le tableau de bord pour un environnement distribué ou de grappe.
Vérifiez que les liens Mot de passe oublié et Modifier mon mot de passe ont été mis à jour avec l'adresse IP de SSPR sur les autres noeuds de la grappe.
REMARQUE :si les liens Modifier mon mot de passe et Mot de passe oublié ont déjà été mis à jour avec l'adresse IP de SSPR, aucune modification n'est nécessaire.
Sur le premier noeud, arrêtez Tomcat et générez un nouveau fichier osp.jks en spécifiant le nom DNS du serveur de l'équilibreur de charge à l'aide de la commande suivante :
/opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <mot_de_passe> -keypass <mot_de_passe> -alias osp -validity 1800 -dname "cn=<IP/DNS_équilibreur_de_charge>"
Par exemple : /opt/netiq/common/jre/bin/keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"
REMARQUE :assurez-vous que le mot de passe de clé est identique à celui spécifié lors de l'installation d'OSP. Ce mot de passe, de même que le mot de passe Keystore, peut aussi être modifié à l'aide de l'utilitaire de mise à jour de configuration.
(Conditionnel) Pour vérifier si le fichier osp.jks a été mis à jour avec les modifications, exécutez la commande suivante :
/opt/netiq/common/jre/bin/keytool -list -v -keystore osp.jks -storepass changeit
Effectuez une sauvegarde du fichier osp.jks d'origine situé sous /opt/netiq/idm/apps/osp et copiez le nouveau fichier osp.jks à cet emplacement. Le nouveau fichier osp.jks a été créé à l'Étape 4.
Copiez le nouveau fichier osp.jks situé dans /opt/netiq/idm/apps/osp depuis le premier noeud vers tous les autres noeuds d'application utilisateur de la grappe.
Lancez l'utilitaire de configuration sur le premier noeud et, sous l'onglet Client SSO, remplacez l'ensemble des paramètres d'URL, notamment le lien URL vers la page de renvoi et l'URL de redirection OAuth, par le nom DNS de l'équilibreur de charge.
Enregistrez les modifications dans l'utilitaire de configuration.
Pour répercuter cette modification sur tous les autres noeuds de la grappe, copiez le fichier ism-configuration.properties situé dans /TOMCAT_INSTALLED_HOME/conf depuis le premier noeud vers tous les autres noeuds d'application utilisateur.
REMARQUE :vous avez copié le fichier ism.properties depuis le premier noeud vers les autres noeuds de la grappe. Si vous avez spécifié des chemins d'installation personnalisés lors de l'installation de l'application utilisateur, veillez à corriger les chemins d'accès référentiels en utilisant l'utilitaire de mise à jour de configuration sur les noeuds de la grappe.
Dans ce scénario, OSP et l'application utilisateur sont installés sur le même serveur ; dès lors, le même nom DNS est utilisé pour les URL de redirection.
Si OSP et l'application utilisateur sont installés sur des serveurs distincts, remplacez les URL d'OSP par un autre nom DNS pointant vers l'équilibreur de charge. Effectuez cette opération pour tous les serveurs sur lesquels OSP est installé, afin que toutes les requêtes OSP soient distribuées, via l'équilibreur de charge, vers le nom DNS de la grappe OSP. Cela implique d'avoir une grappe distincte pour les noeuds OSP.
Effectuez les opérations suivantes dans le fichier setenv.sh situé dans le répertoire /TOMCAT_INSTALLED_HOME/bin/ :
Pour vérifier la réussite de la liaison mcast_addr, JGroups requiert que la propriété preferIPv4Stack soit définie sur true (vrai). Pour ce faire, ajoutez la propriété JVM "-Djava.net.preferIPv4Stack=true" dans le fichier setenv.sh de tous les noeuds.
Ajoutez la propriété « -Dcom.novell.afw.wf.engine-id=Engine » dans le fichier setenv.sh sur le premier noeud.
Le nom du moteur doit être unique. Indiquez le nom spécifié lors de l'installation du premier noeud. Si aucun nom n'a été spécifié, le nom par défaut est « Engine ».
De même, ajoutez un nom de moteur unique pour les autres noeuds de la grappe. Par exemple, le nom du deuxième noeud peut être Engine2.