8.6 Déploiement de conteneurs sur des serveurs distribués

NetIQ vous recommande d'utiliser le mode réseau hôte pour le conteneur du moteur Identity Manager et le mode réseau superposé pour tous les autres conteneurs Identity Manager. Dans les exemples utilisés dans ce guide, nous allons déployer le conteneur Identity Manager sur l'hôte Docker A et d'autres conteneurs Identity Manager sur l'hôte Docker B.

Effectuez les étapes suivantes pour configurer un réseau superposé :

  1. Exécutez la commande suivante sur l'hôte Docker A :

    docker run -d -p <port hôte>:8500 -h consul --name <nom conteneur> progrium/consul -server -bootstrap

    Par exemple :

    docker run -d -p 8500:8500 -h consul --name consul progrium/consul -server -bootstrap

  2. Sur l'hôte Docker B, modifiez le fichier docker qui se trouve dans le répertoire /etc/sysconfig/ et ajoutez la ligne suivante :

    DOCKER_OPTS="-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --cluster-advertise <Interface réseau serveur maître>:2375 --cluster-store consul://<Adresse IP Hôte Docker A>:<Port Hôte Docker A>"

    Par exemple :

    DOCKER_OPTS="-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --cluster-advertise eth0:2375 --cluster-store consul://172.120.0.1:8500"

  3. Redémarrez le service Docker sur l'hôte Docker B :

    systemctl restart docker

  4. À partir de l'hôte Docker B, exécutez la commande suivante pour vérifier si l'hôte Docker B a été ajouté à la grappe :

    docker info

    Voici un exemple de résultat :

    Cluster store: consul://<Adresse IP HÔTE Docker A>:8500

    Cluster advertise: <Adresse IP HÔTE Docker B>:2375

  5. Créez un réseau superposé sur l'hôte Docker B :

    docker network create -d overlay --subnet=<sous-réseau au format CID qui représente un segment réseau> --gateway=<passerelle ipv4> <nom du réseau superposé>

    Par exemple :

    docker network create -d overlay --subnet=192.168.0.0/24 --gateway=192.168.0.1 idmoverlaynetwork

  6. Exécutez la commande suivante pour vérifier si le réseau superposé a été créé :

    docker network ls

8.6.1 Conditions préalables

  • Le fichier /etc/hosts de tous les hôtes Docker de votre déploiement Docker doit être mis à jour avec les détails de tous les conteneurs s'exécutant sur cet hôte. Assurez-vous que le nom d'hôte de tous les conteneurs est au format nom de domaine complet (FQDN).

    Les entrées du fichier hôte peuvent suivre le format ci-dessous pour tous les composants :

    <Adresse IP du conteneur> <nom de domaine complet> <nom abrégé>

    Dans l'exemple de déploiement utilisé dans ce guide, ajoutez les entrées suivantes dans le fichier /etc/hosts :

    172.120.0.1     identityengine.example.com       identityengine
192.168.0.2     remoteloader.example.com         remoteloader
192.168.0.3     fanoutagent.example.com          fanoutagent
192.168.0.4     imanager.example.com             imanager
192.168.0.5     osp.example.com                  osp
192.168.0.6     postgresql.example.com           postgresql
192.168.0.7     identityapps.example.com         identityapps
192.168.0.8     formrenderer.example.com         formrenderer
192.168.0.9     activemq.example.com             activemq
192.168.0.10    identityreporting.example.com    identityreporting   
192.168.0.11    sspr.example.com                 sspr

  • Vérifiez que les fichiers JAR tiers sont montés en tant que volumes de sorte qu'ils soient disponibles à chaque démarrage du conteneur. Par exemple, si le fichier ojdbc.jar est présent dans le répertoire /opt/netiq/idm/apps/tomcat/lib du conteneur, vous devez monter le fichier JAR en tant que volume à l'aide d'une commande ressemblant à ceci :

    -v /host/ojdbc.jar:/opt/netiq/idm/apps/tomcat/lib/ojdbc.jar

  • Vous devez générer le fichier de propriétés silencieuses avant de déployer les conteneurs. Pour plus d'informations sur la génération du fichier de propriétés silencieuses, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

8.6.2 Exposition des ports devant être accessibles aux conteneurs

Au préalable, vous devez connaître les ports que vous souhaitez utiliser pour un conteneur. Vous devez exposer les ports requis et assigner les ports de conteneur aux ports de l'hôte Docker. Le tableau suivant fournit des informations sur les ports que vous devez exposer sur les hôtes Docker sur la base des exemples fournis dans ce guide.

Conteneur

Ports par défaut supposés comme dans l'exemple de déploiement

Chargeur distant

8090

Agent Fan-out

Non applicable

iManager

8743

OSP

8543

Identity Applications

18543

Identity Reporting

28543

Moteur de rendu de formulaire

8600

ActiveMQ 

  • 8161

  • 61616

PostgreSQL

5432

SSPR

8443

REMARQUE :le conteneur SSPR ne fonctionne que sur le port 8443.

Toutefois, vous pouvez personnaliser les ports en fonction de vos besoins. Tenez compte des considérations suivantes lorsque vous exposez les ports :

  • Assurez-vous d'exposer les ports qui ne sont pas en cours d'utilisation.

  • Le port de conteneur doit être assigné au même port sur l'hôte Docker. Par exemple, le port 8543 sur le conteneur doit être assigné au port 8543 sur l'hôte Docker.

Les conteneurs doivent être déployés dans l'ordre suivant :

8.6.3 Déploiement du conteneur du moteur Identity Manager

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_identityengine.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --network=host --name=engine-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityengine:idm-4.8.0

  5. Pour vérifier si le conteneur a bien été déployé, consultez les fichiers journaux en exécutant la commande suivante :

    tail -f /data/idm/log/idmconfigure.log

  6. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it engine-container bash

REMARQUE :pour exécuter les utilitaires du coffre-fort d'identité (par exemple, ndstrace ou ndsrepair, connectez-vous au conteneur en tant qu'utilisateur non-root appelé nds. Ces utilitaires ne peuvent pas être exécutés si vous êtes connecté en tant qu'utilisateur root. Pour vous connecter au conteneur en tant qu'utilisateur nds, exécutez la commande docker exec -it engine-container sudo nds.

8.6.4 Déploiement du conteneur du chargeur distant

  1. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  2. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_remoteloader.tar.gz

  3. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.2 --network=idmoverlaynetwork --hostname=remoteloader.example.com -p 8090:8090 --name=rl-container -v /etc/hosts:/etc/hosts -v /data:/config remoteloader:idm-4.8.0

    Cette commande déploie les versions 64 et 32 bits du chargeur distant. Les fichiers du pilote se trouvent dans le répertoire /opt/novell/eDirectory/lib/dirxml/classes/ du conteneur.

  4. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it rl-container bash

  5. Configurez le chargeur distant. Pour plus d'informations, reportez-vous à la section Configuring the Remote Loader and Drivers (Configuration du chargeur distant et des pilotes) du manuel NetIQ Identity Manager Driver Administration Guide (Guide d'administration des pilotes NetIQ Identity Manager).

8.6.5 Déploiement du conteneur de l'agent Fan-out

  1. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  2. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_fanoutagent.tar.gz

  3. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.3 --network=idmoverlaynetwork --hostname=fanoutagent.example.com --name=foa-container -v /etc/hosts:/etc/hosts -v /data:/config fanoutagent:idm-4.8.0

  4. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it foa-container bash

  5. Configurez l'agent de dissémination (Fan-out). Pour plus d'informations, reportez-vous à la section Configuring the Fanout Agent (Configuration de l'agent de dissémination [Fan-out]) du manuel NetIQ Identity Manager Driver for JDBC Fanout Implementation Guide (Guide d'implémentation du pilote Fan-out JDBC de NetIQ Identity Manager).

8.6.6 Déploiement du conteneur iManager

  1. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  2. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_iManager320.tar

  3. Créez un fichier .env avec la configuration requise pour convenir à votre environnement. Par exemple, le fichier iManager.env est créé dans le répertoire /data.

    # Certificate Public Key Algorithm
# Allowed Values: RSA, ECDSA256, ECDSA384
CERTIFICATE_ALGORITHM=RSA
# Cipher Suite
# Allowed Values:
# For RSA - NONE, LOW, MEDIUM HIGH
# For ECDSA256 - SUITEB128ONLY
# For ECDSA384 - SUITEB128, SUITEB192
CIPHER_SUITE=NONE
# Tomcat Server HTTP Port
TOMCAT_HTTP_PORT=8080
# Tomcat Server SSL Port
TOMCAT_SSL_PORT=8743
# iManager Authorized User (admin_name.container_name.tree_name)
AUTHORIZED_USER=

  4. Sous le volume partagé /data, créez un sous-répertoire, par exemple, iManager.

  5. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.4 --name=iman-container --network=idmoverlaynetwork --hostname=imanager.example.com -v /etc/hosts:/etc/hosts -v /data:/config -v /data/iManager.env:/etc/opt/novell/iManager/conf/iManager.env -p 8743:8743 imanager:3.2.0

  6. Pour installer les plug-ins Identity Manager, effectuez les étapes suivantes :

    1. Connectez-vous à iManager.

      https://imanager.example.com:8743/nps/

    2. Cliquez sur Configurer.

    3. Cliquez sur Installation de plug-ins, puis sur Modules de plug-in NetIQ disponibles.

    4. Sélectionnez tous les plug-ins dans la liste Modules de plug-in NetIQ, puis cliquez sur Installer.

    Pour obtenir les plug-ins hors ligne, effectuez les étapes suivantes :

    1. Téléchargez le fichier Identity_Manager_4.8_Linux.iso à partir du site Web de téléchargement de NetIQ.

    2. Montez le fichier .iso téléchargé.

    3. À partir de l'emplacement monté, accédez au répertoire /iManager/plugins et obtenez les plug-ins requis.

    Vous pouvez également installer les plug-ins à partir du site Web des plug-ins iManager.

  7. Redémarrez le conteneur iManager.

    docker restart iman-container

  8. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it iman-container bash

Pour plus d'informations sur le déploiement du conteneur iManager, reportez-vous à la section Déploiement d'iManager à l'aide d'un conteneur Docker du Guide d'installation de NetIQ iManager.

8.6.7 Génération de certificats avec l'autorité de certification du coffre-fort d'identité

(Conditionnel) Cette section s'applique uniquement si vous utilisez le coffre-fort d'identité en tant qu'autorité de certification.

Les composants suivants vous obligent à générer des certificats avant leur déploiement. Avant de générer les certificats pour les composants suivants, veillez à déployer les conteneurs Moteur Identity Manager et iManager.

Génération de certificats pour OSP

Effectuez les étapes suivantes pour générer les certificats :

  1. Connectez-vous au conteneur iManager.

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it iman-container bash

  2. Veillez à définir le chemin Java. Par exemple, exécutez la commande suivante :

    export PATH=<emplacement installation Java>/bin:$PATH

    Exemples :

    export PATH=/opt/netiq/common/jre/bin/:$PATH

    REMARQUE :vérifiez que la version Java installée est Azul Zulu 1.80_222 ou une version ultérieure.

  3. Générez le keystore PKCS :

    keytool -genkey -alias osp -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-osp.ks -validity 3650 -keysize 2048 -dname "CN=osp.example.com" -keypass <mot de passe> -storepass <mot de passe>

  4. Générez une requête de signature de certificat :

    keytool -certreq -v -alias osp -file /config/osp.csr -keypass <mot de passe> -keystore /config/tomcat-osp.ks -storepass <mot de passe>

  5. Générez un certificat auto-signé :

    1. Lancez iManager à partir de l'hôte Docker et connectez-vous en tant qu'administrateur.

    2. Accédez à Rôles et tâches > NetIQ Certificate Server > Émettre le certificat.

    3. Recherchez le fichier .csr créé à l'étape 3. Par exemple : osp.csr.

    4. Cliquez sur Suivant.

    5. Spécifiez l'utilisation de la clé, puis cliquez sur Suivant.

    6. Pour le type de certificat, cliquez sur Non spécifié.

    7. Cliquez sur Suivant.

    8. Spécifiez la validité du certificat, puis cliquez sur Suivant.

    9. Sélectionnez le bouton d'option Fichier au format DER binaire.

    10. Cliquez sur Suivant.

    11. Cliquez sur Terminer.

    12. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  6. Exportez le certificat racine au format .der :

    1. Lancez iManager à partir de l'hôte Docker et connectez-vous en tant qu'administrateur.

    2. Accédez à Rôles et tâches > Accès aux certificats NetIQ > Certificats de serveur.

    3. Cochez la case DNS du certificat SSL, puis cliquez sur Exporter.

    4. Dans la liste déroulante Certificats, sélectionnez l'autorité de certification organisationnelle.

    5. Dans la liste déroulante Format d'exportation, sélectionnez DER.

    6. Cliquez sur Suivant.

    7. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  7. Importez les certificats dans le keystore PKCS que vous avez créé à l'étape 2 :

    keytool -import -trustcacerts -alias root -keystore /config/tomcat-osp.ks -file /config/cert.der -storepass <mot de passe> -noprompt

    keytool -import -alias osp -keystore /config/tomcat-osp.ks -file /config/osp.der -storepass <mot de passe> -noprompt

REMARQUE :vérifiez que le keystore est disponible dans le chemin spécifié comme entrée pour le déploiement.

Génération de certificats pour Identity Applications

Effectuez les étapes suivantes pour générer les certificats :

  1. Connectez-vous au conteneur iManager.

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it iman-container bash

  2. Veillez à définir le chemin Java. Par exemple, exécutez la commande suivante :

    export PATH=<emplacement installation Java>/bin:$PATH

    Exemples :

    export PATH=/opt/netiq/common/jre/bin/:$PATH

    REMARQUE :vérifiez que la version Java installée est Azul Zulu 1.80_222 ou une version ultérieure.

  3. Générez le keystore PKCS :

    keytool -genkey -alias ua -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-ua.ks -validity 3650 -keysize 2048 -dname "CN=identityapps.example.com" -keypass <mot de passe> -storepass <mot de passe>

  4. Générez une requête de signature de certificat :

    keytool -certreq -v -alias ua -file /config/ua.csr -keypass <mot de passe> -keystore /config/tomcat-ua.ks -storepass <mot de passe>

  5. Générez un certificat auto-signé :

    1. Connectez-vous à iManager en tant qu'administrateur.

    2. Accédez à Rôles et tâches > NetIQ Certificate Server > Émettre le certificat.

    3. Recherchez le fichier .csr créé à l'étape 3. Par exemple : ua.csr.

    4. Cliquez sur Suivant.

    5. Spécifiez l'utilisation de la clé, puis cliquez sur Suivant.

    6. Pour le type de certificat, cliquez sur Non spécifié.

    7. Cliquez sur Suivant.

    8. Spécifiez la validité du certificat, puis cliquez sur Suivant.

    9. Sélectionnez le bouton d'option Fichier au format DER binaire.

    10. Cliquez sur Suivant.

    11. Cliquez sur Terminer.

    12. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  6. Exporter le certificat racine au format .der :

    1. Connectez-vous à iManager en tant qu'administrateur.

    2. Accédez à Rôles et tâches > Accès aux certificats NetIQ > Certificats de serveur.

    3. Cochez la case DNS du certificat SSL, puis cliquez sur Exporter.

    4. Dans la liste déroulante Certificats, sélectionnez l'autorité de certification organisationnelle.

    5. Dans la liste déroulante relative au format d'exportation, sélectionnez DER.

    6. Cliquez sur Suivant.

    7. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  7. Importez les certificats dans le keystore PKCS créé à l'étape 2 :

    keytool -import -trustcacerts -alias root -keystore /config/tomcat-ua.ks -file /config/cert.der -storepass <mot de passe> -noprompt

    keytool -import -alias ua -keystore /config/tomcat-ua.ks -file /config/ua.der -storepass <mot de passe> -noprompt

REMARQUE :vérifiez que les certificats sont disponibles dans le chemin spécifié comme entrée pour le déploiement.

Génération de certificats pour Identity Reporting

Effectuez les étapes suivantes pour générer les certificats :

  1. Connectez-vous au conteneur iManager.

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it iman-container bash

  2. Veillez à définir le chemin Java. Par exemple, exécutez la commande suivante :

    export PATH=<emplacement installation Java>/bin:$PATH

    Exemples :

    export PATH=/opt/netiq/common/jre/bin/:$PATH

    REMARQUE :vérifiez que la version Java installée est Azul Zulu 1.80_222 ou une version ultérieure.

  3. Générez le keystore PKCS :

    keytool -genkey -alias rpt -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-rpt.ks -validity 3650 -keysize 2048 -dname "CN=identityreporting.example.com" -keypass <mot de passe> -storepass <mot de passe>

  4. Générez une requête de signature de certificat :

    keytool -certreq -v -alias rpt -file /config/rpt.csr -keypass <mot de passe> -keystore /config/tomcat-rpt.ks -storepass <mot de passe>

  5. Générez un certificat auto-signé :

    1. Connectez-vous à iManager en tant qu'administrateur.

    2. Accédez à Rôles et tâches > NetIQ Certificate Server > Émettre le certificat.

    3. Recherchez le fichier .csr créé à l'étape 3. Par exemple : rpt.csr.

    4. Cliquez sur Suivant.

    5. Spécifiez l'utilisation de la clé, puis cliquez sur Suivant.

    6. Pour le type de certificat, cliquez sur Non spécifié.

    7. Cliquez sur Suivant.

    8. Spécifiez la validité du certificat, puis cliquez sur Suivant.

    9. Sélectionnez le bouton d'option Fichier au format DER binaire.

    10. Cliquez sur Suivant.

    11. Cliquez sur Terminer.

    12. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  6. Exporter le certificat racine au format .der :

    1. Connectez-vous à iManager en tant qu'administrateur.

    2. Accédez à Rôles et tâches > Accès aux certificats NetIQ > Certificats de serveur.

    3. Cochez la case DNS du certificat SSL, puis cliquez sur Exporter.

    4. Dans la liste déroulante Certificats, sélectionnez l'autorité de certification organisationnelle.

    5. Dans la liste déroulante relative au format d'exportation, sélectionnez DER.

    6. Cliquez sur Suivant.

    7. Téléchargez le certificat et copiez le certificat téléchargé dans le répertoire /data.

  7. Importez les certificats dans le keystore PKCS que vous avez créé à l'étape 2 :

    keytool -import -trustcacerts -alias root -keystore /config/tomcat-rpt.ks -file /config/cert.der -storepass <mot de passe> -noprompt

    keytool -import -alias rpt -keystore /config/tomcat-rpt.ks -file /config/rpt.der -storepass <mot de passe> -noprompt

REMARQUE :vérifiez que les certificats sont disponibles dans le chemin spécifié comme entrée pour le déploiement.

8.6.8 Déploiement du conteneur OSP

REMARQUE :avant de déployer le conteneur OSP, veillez à générer les certificats requis. Pour plus d'informations, reportez-vous à la section Génération de certificats pour OSP.

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_osp.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.5 --network=idmoverlaynetwork --hostname=osp.example.com -p 8543:8543 --name=osp-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties osp:idm-4.8.0

  5. Pour vérifier si le conteneur a bien été déployé, consultez les fichiers journaux en exécutant la commande suivante :

    tail -f /data/osp/log/idmconfigure.log

  6. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it osp-container bash

8.6.9 Déploiement du conteneur PostgreSQL

  1. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  2. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_postgres.tar.gz

  3. Sous le volume partagé /data, créez un sous-répertoire, par exemple, postgres.

    mkdir postgres

  4. Pour déployer le conteneur, exécutez l'exemple de commande suivant :

    docker run -d --ip=192.168.0.6 --network=idmoverlaynetwork --hostname=postgresql.example.com --name=postgresql-container -p 5432:5432 -e POSTGRES_PASSWORD=<password> -v /data/postgres:/var/lib/postgresql/data -v /etc/hosts:/etc/hosts -v /data:/config postgres:9.6.12-alpine

    Exemples :

    docker run -d --ip=192.168.0.6 --network=idmoverlaynetwork --hostname=postgresql.example.com --name=postgresql-container -p 5432:5432 -e POSTGRES_PASSWORD=novell -v /data/postgres:/var/lib/postgresql/data -v /etc/hosts:/etc/hosts -v /data:/config postgres:9.6.12-alpine

  5. Créez l'utilisateur idmdamin pour Identity Applications.

    docker exec -it postgresql-container psql -U postgres -c "CREATE USER idmadmin WITH ENCRYPTED PASSWORD '<mot_de_passe>'"

  6. Créez les bases de données d'Identity Applications, du workflow et d'Identity Reporting.

    docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE idmuserappdb"

    docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE igaworkflowdb"

    docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE idmrptdb"

    REMARQUE :ces bases de données sont utilisées lors de la configuration des conteneurs d'Identity Applications et d'Identity Reporting.

  7. Accordez tous les privilèges pour les bases de données à l'utilisateur idmadmin :

    docker exec -it postgresql-container psql -U postgres -c "GRANT ALL PRIVILEGES ON DATABASE idmuserappdb TO idmadmin"

    docker exec -it postgresql-container psql -U postgres -c "GRANT ALL PRIVILEGES ON DATABASE igaworkflowdb TO idmadmin"

  8. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it postgresql-container bash

8.6.10 Déploiement du conteneur d'Identity Applications

REMARQUE :avant de déployer le conteneur d'Identity Applications, veillez à générer les certificats requis. Pour plus d'informations, reportez-vous à la section Génération de certificats pour Identity Applications.

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

    REMARQUE :spécifiez le port exposé, 18543, comme valeur pour le port du serveur d'applications.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_identityapplication.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.7 --network=idmoverlaynetwork --hostname=identityapps.example.com -p 18543:18543 --name=idapps-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityapplication:idm-4.8.0

  5. Pour vérifier si le conteneur a bien été déployé, consultez les fichiers journaux en exécutant la commande suivante :

    tail -f /data/userapp/log/idmconfigure.log

  6. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it idapps-container bash

  7. Exécutez la commande suivante :

    REMARQUE :avant d'effectuer cette étape, assurez-vous que le conteneur a bien été déployé.

    /opt/netiq/common/jre/bin/keytool -importkeystore -srckeystore /config/tomcat-osp.ks -srcstorepass <mot de passe> -destkeystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -deststorepass <mot de passe>

  8. Tapez yes pour écraser l'entrée de l'alias root.

  9. Redémarrez le conteneur d'Identity Applications.

    docker restart idapps-container

REMARQUE :pour modifier des paramètres dans l'utilitaire de mise à jour de la configuration, lancez configupdate.sh à partir du répertoire /opt/netiq/idm/apps/configupdate/ du conteneur d'Identity Applications. L'utilitaire de mise à jour de la configuration ne peut être lancé qu'en mode console.

8.6.11 Déploiement du conteneur du moteur de rendu de formulaire

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_formrenderer.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.8 --network=idmoverlaynetwork --hostname=formrenderer.example.com -p 8600:8600 --name=fr-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties formrenderer:idm-4.8.0

  5. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it fr-container bash

8.6.12 Déploiement du conteneur ActiveMQ

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_activemq.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.9 --network=idmoverlaynetwork --hostname=activemq.example.com -p 8161:8161 -p 61616:61616 --name=amq-container -v /etc/hosts:/etc/hosts -v /data:/config --env-file /data/silent.properties activemq:idm-4.8.0

  5. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it amq-container bash

  6. Configurez ActiveMQ. Pour plus d'informations, reportez-vous à la section Setting Up ActiveMQ Startup Service (Configuration du service de démarrage ActiveMQ) du manuel NetIQ Identity Manager Driver for JDBC Fanout Implementation Guide (Guide d'implémentation du pilote Fan-out JDBC de NetIQ Identity Manager).

8.6.13 Déploiement du conteneur Identity Reporting

REMARQUE :avant de déployer le conteneur Identity Reporting, veillez à générer les certificats requis. Pour plus d'informations, reportez-vous à la section Génération de certificats pour Identity Reporting.

  1. Générez le fichier des propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

    REMARQUE :spécifiez le port exposé, 28543, comme valeur pour le port du serveur d'applications.

  2. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  3. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_identityreporting.tar.gz

  4. Pour déployer le conteneur, exécutez la commande suivante :

    docker run -d --ip=192.168.0.10 --network=idmoverlaynetwork --hostname=identityreporting.example.com -p 28543:28543 --name=rpt-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityreporting:idm-4.8.0

  5. Pour vérifier si le conteneur a bien été déployé, consultez les fichiers journaux en exécutant la commande suivante :

    tail -f /data/reporting/log/idmconfigure.log

  6. Pour vous connecter au conteneur, exécutez la commande suivante :

    docker exec -it <conteneur> <commande>

    Exemples :

    docker exec -it rpt-container bash

  7. Exécutez la commande suivante :

    REMARQUE :avant d'effectuer cette étape, assurez-vous que le conteneur a bien été déployé.

    /opt/netiq/common/jre/bin/keytool -importkeystore -srckeystore /config/tomcat-osp.ks -srcstorepass <mot de passe> -destkeystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -deststorepass <mot de passe>

  8. Tapez yes pour écraser l'entrée de l'alias root.

  9. Redémarrez le conteneur Identity Reporting.

    docker restart rpt-container

8.6.14 Déploiement du conteneur SSPR

Effectuer les tâches suivantes pour déployer le conteneur SSPR :

  1. Générez le fichier de propriétés silencieuses pour SSPR. Sélectionnez Identity Applications lors de la génération du fichier de propriétés silencieuses. Pour plus d'informations, reportez-vous à la section Création d'un fichier de propriétés silencieuses.

  2. Sous le volume partagé /data, créez un sous-répertoire, par exemple, sspr.

    mkdir sspr

  3. À partir de l'emplacement où vous avez extrait le fichier Identity_Manager_4.8_Containers.tar.gz, accédez au répertoire Identity_Manager_4.8_Containers.

  4. Exécutez la commande suivante pour charger l'image :

    docker load --input IDM_48_sspr.tar.gz

  5. Pour déployer le conteneur, exécutez l'exemple de commande suivant :

    docker run -d --ip=192.168.0.11 --network=idmoverlaynetwork --hostname=sspr.example.com --name=sspr-container -v /etc/hosts:/etc/hosts -v /data/sspr:/config -p 8443:8443 sspr/sspr-webapp:latest

  6. Exécutez la commande suivante à partir de l'hôte Docker pour copier le fichier silent.properties depuis cet hôte vers le conteneur SSPR :

    docker cp /data/silent.properties sspr-container:/tmp

  7. Chargez le fichier de propriétés silencieuses sur le conteneur SSPR.

    docker exec -it sspr-container /app/command.sh ImportPropertyConfig /tmp/silent.properties

    REMARQUE :vérifiez si le fichier SSPRConfiguration.xml a été créé sous le répertoire /config du conteneur SSPR et contrôlez son contenu.

  8. Importez le certificat OAuth dans SSPR :

    1. À partir de l'hôte Docker, modifiez le fichier SSPRConfiguration.xml situé dans le répertoire /data/sspr/ , puis définissez la valeur du drapeau configIsEditable sur true (vrai) et enregistrez les modifications.

    2. Lancez un navigateur et entrez l'URL https://sspr.example.com:8443/sspr.

    3. Connectez-vous à l'aide d'informations d'identification d'administrateur, par exemple, uaadmin.

    4. Cliquez sur l'utilisateur, par exemple, uaadmin, dans le coin supérieur droit, puis cliquez sur Configuration Editor (Éditeur de configuration).

    5. Spécifiez le mot de passe de configuration et cliquez sur Sign In (Se connecter).

    6. Cliquez sur Settings (Paramètres) > Single Sign On (SSO) Client (Client SSO [Single Sign-on]) > OAuth et vérifiez que toutes les URL utilisent le protocole HTTPS et les bons ports.

    7. Sous OAuth Server Certificate (Certificat du serveur OAuth), cliquez sur Import from Server (Importer à partir du serveur) pour importer un nouveau certificat, puis cliquez sur OK.

    8. Cliquez sur dans le coin supérieur droit pour enregistrer le certificat.

    9. Passez les modifications en revue, puis cliquez sur OK.

    10. Une fois l'application SSPR redémarrée, modifiez le fichier SSPRConfiguration.xml, définissez la valeur du drapeau configIsEditable sur false et enregistrer les modifications.