このセクションでは、識別情報アプリケーションのサイレントインストールを実行する方法について説明します。サイレントインストールは、インストール中に操作する必要がなく、特に複数のサーバにインストールする場合に時間を節約できます。サイレントインストールは、サポートされているLinuxコンピュータでのみ実行できます。
インストールを準備するには、セクション 37.1, 識別情報アプリケーションのインストールのチェックリストの一覧に示すアクティビティをレビューします。リリースに付属するリリースノートも参照してください。
このプロセスには次の作業が含まれます。
.propertiesファイルで設定パスワードを指定するのではなく、環境にパスワードを設定できます。この場合、サイレントインストーラは、silent.propertiesファイルからではなく、環境からパスワードを読み込みます。これにより、セキュリティが増強されます。
インストールの次のパスワードを指定する必要があります。
NOVL_DB_USER_PASSWORD
NOVL_CONFIG_DBADMIN_PASSWORD
NOVL_CONFIG_LDAPADMINPASS
NOVL_CONFIG_KEYSTOREPASSWORD
exportコマンドを使用します。次に例を示します。
export NOVL_DB_USER_PASSWORD=myPassWord
setコマンドを使用します。次に例を示します。
set NOVL_DB_USER_PASSWORD=myPassWord
サイレントインストールまたは設定を実行する前に、.propertiesファイルのパラメータ値を編集する必要があります。このセクションの表にパラメータの一覧を示します。記載されているパラメータは、基本インストールパラメータのほか、RBPMと識別情報アプリケーションの設定に対応しています。パラメータ値の指定の詳細については、セクション 37.2, ガイドによる識別情報アプリケーションインストールプロセスとセクション 40.0, 識別情報アプリケーションの設定の管理を参照してください。
識別情報アプリケーションをインストールするコンピュータにrootとしてログインします。
silent.propertiesファイルがローカルコンピュータに存在することを確認します。
このファイルは、デフォルトでは、Identity Managerインストールパッケージの.isoイメージファイル内のproducts/rbpm/user_app_installディレクトリにあります。
user_app.install.propertiesファイルを開きます。
.propertiesファイルの次のパラメータを変更します。
silent.propertiesのパラメータ名 |
識別情報アプリケーション環境設定パラメータファイルにある同等のパラメータ名 |
---|---|
NOVL_CONFIG_LDAPHOST= |
eDirectory接続設定: LDAPホスト。 LDAPサーバのホスト名またはIPアドレスを指定します。 |
NOVL_CONFIG_LDAPADMIN= |
eDirectory接続設定: LDAP管理者。 LDAP管理者の資格情報を指定します。このユーザはすでに存在している必要があります。 ユーザアプリケーションは、このアカウントを使用して識別ボールドへの管理接続を行います。 この値は、マスタキーに基づいて暗号化されます。 |
NOVL_CONFIG_LDAPADMINPASS= |
eDirectory接続設定: LDAP管理者パスワード。 LDAP管理者パスワードを指定します。このパスワードは、マスタキーに基づいて暗号化されます。 |
NOVL_CONFIG_ROOTCONTAINERNAME= |
eDirectory DN: ルートコンテナDN。 ルートコンテナのLDAP識別名を指定します。これは、ディレクトリ抽象化層で検索ルートが指定されない場合に、デフォルトのエンティティ定義検索ルートとして使用されます。 |
NOVL_CONFIG_PROVISIONROOT= |
eDirectory DN: プロビジョニングドライバDN。 ユーザアプリケーションドライバの識別名を指定します。たとえば、ドライバがUserApplicationDriverでドライバセットの名前がmyDriverSetであり、ドライバセットがo=myCompanyのコンテキストにある場合は、次の値を入力します。 cn=UserApplicationDriver,cn= myDriverSet,o=myCompany |
NOVL_CONFIG_LOCKSMITH= |
eDirectory DN: ユーザアプリケーション管理者。 指定されたユーザアプリケーションのユーザコンテナについての管理タスクを実行する権限のある、識別ボールト内の既存のユーザ。 このユーザは、ユーザアプリケーションの[管理者]タブを使用してポータルを管理できます。 ユーザアプリケーション管理者が、iManager、NetIQ Designer for Identity Manager、またはユーザアプリケーション([要求と承認]タブ)で公開されているワークフロー管理タスクに参加する場合は、この管理者に、ユーザアプリケーションドライバに含まれるオブジェクトインスタンスに対する適切なトラスティ権限を付与します。詳細については、『NetIQ Identity Manager - Identityアプリケーションに対する管理者ガイド』を参照してください。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用します。 |
NOVL_CONFIG_PROVLOCKSMITH= |
eDirectory DN: プロビジョニングアプリケーション管理者。 このユーザは、Identity Managerのプロビジョニングバージョンで利用できます。プロビジョニングアプリケーション管理者は、[プロビジョニング]タブ([管理]タブの下)を使用して、プロビジョニングワークフロー機能を管理します。これらの機能は、ユーザアプリケーションの[要求と承認]タブでユーザが使用可能です。 このユーザは、プロビジョニングアプリケーション管理者に指定される前に、識別ボールトに存在する必要があります。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[管理]>[セキュリティ]ページを使用します。 |
NOVL_CONFIG_ROLECONTAINERDN= |
この役割はRBPMで使用できます。この役割を使用すると、そのメンバーはすべての役割の作成、削除、変更、およびユーザ、グループ、またはコンテナへの役割の付与または取り消しを行うことができます。さらに役割のメンバーは、任意のユーザに対してレポートを実行できます。デフォルトでは、この役割にはユーザアプリケーション管理者が割り当てられています。 ユーザアプリケーションの展開後にこの割り当てを変更するには、ユーザアプリケーションの[役割]>[役割の割り当て]ページを使用します。 |
NOVL_CONFIG_COMPLIANCECONTAINERDN |
コンプライアンスモジュール管理者はシステムの役割であり、メンバーはこの[コンプライアンス]タブのすべての機能が実行可能です。このユーザは、コンプライアンスモジュール管理者として指定される前に、識別ボールトに存在している必要があります。 |
NOVL_CONFIG_USERCONTAINERDN= |
メタディレクトリユーザID: ユーザコンテナDN。 ユーザコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。これにより、ユーザおよびグループの検索スコープが定義されます。 このコンテナ内(およびその下)のユーザが、ユーザアプリケーションにログインできます。 重要:ユーザによるワークフローの実行を可能とさせる場合は、ユーザアプリケーションドライバの設定中に指定したユーザアプリケーション管理者が、確実にこのコンテナに存在するようにしてください。 |
NOVL_CONFIG_GROUPCONTAINERDN= |
メタディレクトリユーザグループ: グループコンテナDN。 グループコンテナのLDAP識別名(DN)または完全修飾LDAP名を指定します。ディレクトリ抽象化レイヤ内のエンティティ定義で使用します。 |
NOVL_CONFIG_KEYSTOREPATH= |
eDirectory証明書: キーストア パス。必須。 Tomcatが使用しているJREのキーストア(cacerts)ファイルへのフルパスを指定します。ユーザアプリケーションのインストールによって、キーストアファイルが変更されます。 Linuxでは、ユーザにこのファイルへの書き込み許可が必要です。 |
NOVL_CONFIG_KEYSTOREPASSWORD= |
eDirectory証明書: キーストアパスワード。 cacertsのパスワードを指定します。 デフォルトは、「changeit」です。 |
NOVL_CONFIG_SECUREADMINCONNECTION= |
eDirectory接続設定: セキュア管理者接続。 必須 管理者アカウントを使用するすべての通信でセキュアソケットの使用を要求する(このオプションを使用すると、パフォーマンスに悪影響を及ぼすことがあります)には、Trueを指定します。この設定を行っても、SSLを必要としない他の処理はSSLを使用せずに処理を実行できます。 管理者アカウントでSSL通信を使用しない場合、Falseを指定します。 |
NOVL_CONFIG_SECUREUSERCONNECTION= |
eDirectory接続設定: セキュアユーザ接続。 必須 ログインユーザのアカウントで実行されるすべての通信でセキュアソケットの使用を要求する(このオプションを使用すると、パフォーマンスに深刻な悪影響を及ぼすことがあります)には、Trueを指定します。この設定を行っても、SSLを必要としない他の処理はSSLを使用せずに処理を実行できます。 ユーザのアカウントでSSL通信を使用しない場合、Falseを指定します。 |
NOVL_CONFIG_SESSIONTIMEOUT= |
その他: セッションのタイムアウト。 必須 アプリケーションセッションのタイムアウト時間を指定します。 |
NOVL_CONFIG_LDAPPLAINPORT= |
eDirectory接続設定: LDAP非セキュアポート。 必須 LDAPサーバの非セキュアポートを指定します。たとえば、「389」と指定します。 |
NOVL_CONFIG_LDAPSECUREPORT= |
eDirectory接続設定: LDAPセキュアポート。 必須 LDAPサーバのセキュアポートを、たとえば「636」のように指定します。 |
NOVL_CONFIG_ANONYMOUS= |
eDirectory接続設定: パブリック匿名アカウントの使用 必須 ログインしていないユーザにLDAPパブリック匿名アカウントへのアクセスを許可するには、Trueを指定します。 かわりにNOVL_CONFIG_GUESTを有効にするには、Falseを指定します。 |
NOVL_CONFIG_GUEST= |
eDirectory接続設定: LDAPゲスト。 ログインしていないユーザに、許可されたポートレットへのアクセスを許可します。 ゲストユーザアカウントを無効にする必要もあります。ゲストユーザアカウントは、識別ボールトにすでに存在している必要があります。 アカウントを無効にするには、[パブリック匿名アカウントの使用]を選択します。 |
NOVL_CONFIG_GUESTPASS= |
eDirectory接続設定: LDAPゲストパスワード。 |
NOVL_CONFIG_EMAILNOTIFYHOST= |
電子メール: 通知テンプレートホストトークン。 Identity ManagerユーザアプリケーションをホストするTomcatを指定します。たとえば、次のようにします。 myapplication serverServer この値は、電子メールテンプレートの$HOST$トークンと置き換えられます。 作成されるurlは、プロビジョニング要求タスクと承認通知へのリンクです。 |
NOVL_CONFIG_EMAILNOTIFYPORT= |
電子メール: 通知テンプレートポートトークン。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PORT$トークンの置き換えに使用されます。 |
NOVL_CONFIG_EMAILNOTIFYSECUREPORT= |
電子メール: 通知テンプレートセキュアポートトークン。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$SECURE_PORT$トークンの置き換えに使用します。 |
NOVL_CONFIG_NOTFSMTPEMAILFROM= |
電子メール: 通知SMTP電子メール送信者。 必須 プロビジョニング電子メール内のユーザからの電子メールを指定します。 |
NOVL_CONFIG_NOTFSMTPEMAILHOST= |
電子メール: 通知SMTP電子メールホスト。 必須 プロビジョニング電子メールを使用しているSMTP電子メールホストを指定します。 これは、IPアドレスまたはDNS名が可能です。localhostは使用しないでください。 |
NOVL_CONFIG_USEEXTPWDWAR= |
パスワード管理: 外部パスワードWARの使用。 外部パスワード管理WARを使用するにはTrueを指定し、NOVL_CONFIG_EXTPWDWARPTHとNOVL_CONFIG_EXTPWDWARRTNPATHに値を指定します。 デフォルトの内部パスワード管理機能./jsps/pwdmgt/ForgotPassword.jsp(先頭にhttp(s)プロトコルを指定しない)を使用するには、Falseを指定します。これは、ユーザを、外部WARではなく、ユーザアプリケーションに組み込まれた[パスワードを忘れた場合]機能にリダイレクトします。 |
NOVL_CONFIG_EXTPWDWARPATH= |
パスワード管理: パスワードを忘れた場合のリンク。 外部または内部のパスワード管理WARで、[パスワードを忘れた場合]機能ページForgotPassword.jspのURLを指定します。または、デフォルトの内部パスワード管理WARを受け入れます。詳細については、セクション 39.6, パスワードを忘れた場合の管理の設定を参照してください。 |
NOVL_CONFIG_EXTPWDWARRTNPATH= |
パスワード管理: パスワードを忘れた場合の返信リンク。 ユーザがパスワードを忘れた場合の操作を実行した後でクリックできるように、[パスワードを忘れた場合の返信リンク]を指定します。 |
NOVL_CONFIG_FORGOTWEBSERVICEURL= |
パスワード管理: パスワードを忘れた場合のWebサービスURL。 パスワードを忘れた場合の外部WARがユーザアプリケーションを呼び戻してパスワードを忘れた場合のコア機能を実行するために使用するURLを表します。次の形式を使用してください。 https://idmhost:sslport/idm/ pwdmgt/service |
NOVL_CONFIG_USEROBJECTATTRIBUTE= |
メタディレクトリユーザID: ユーザオブジェクトクラス。 必須 LDAPユーザオブジェクトクラス(通常はinetOrgPerson)。 |
NOVL_CONFIG_LOGINATTRIBUTE= |
メタディレクトリユーザID: ログイン属性。 必須 ユーザのログイン名を表すLDAP属性です。たとえば、CNです。 |
NOVL_CONFIG_NAMINGATTRIBUTE= |
メタディレクトリユーザID : 名前付け属性。 必須 ユーザまたはグループをルックアップする際にIDとして使用するLDAP属性これはログイン属性と同じではありません。ログイン属性はログイン中にのみ使用し、ユーザおよびグループの検索中には使用しません。 |
NOVL_CONFIG_USERMEMBERSHIPATTRIBUTE= |
メタディレクトリユーザID: ユーザメンバーシップ属性。オプション。 必須 ユーザのグループメンバーシップを表すLDAP属性です。 この名前にはスペースを使用しないでください。 |
NOVL_CONFIG_GROUPOBJECTATTRIBUTE= |
メタディレクトリユーザグループ: グループオブジェクトクラス。 必須 LDAPオブジェクトクラス(通常はgroupofNames)。 |
NOVL_CONFIG_GROUPMEMBERSHIPATTRIBUTE= |
メタディレクトリユーザグループ: グループメンバーシップ属性。 必須 ユーザのグループメンバーシップを表す属性を指定します。 この名前にはスペースを使用しないでください。 |
NOVL_CONFIG_USEDYNAMICGROUPS= |
メタディレクトリユーザグループ: ダイナミックグループ。 必須 動的グループを使用するには、Trueを指定します。 |
NOVL_CONFIG_DYNAMICGROUPOBJECTCLASS= |
メタディレクトリユーザグループ : ダイナミックグループオブジェクトクラス。 必須 LDAPダイナミックグループオブジェクトクラスを指定します(通常はdynamicGroup)。 |
NOVL_CONFIG_TRUSTEDSTOREPATH= |
トラステッドキーストア: トラステッドストアパス。 トラステッドキーストアには、すべての信頼される署名者の証明書が含まれます。入力しない場合は、ユーザアプリケーションはシステムプロパティjavax.net.ssl.trustStoreからパスを取得します。パスが存在しない場合、ユーザアプリケーションはjre/lib/security/cacertsを使用します。 |
NOVL_CONFIG_TRUSTEDSTOREPASSWORD= |
トラステッドキーストア: トラステッドストアパスワード。 |
NOVL_CONFIG_ICSLOGOUTENABLED= |
Access ManagerおよびiChainの設定: 同時ログアウト有効。 ユーザアプリケーションおよびNetIQ Access ManagerまたはiChainの同時ログアウトを有効にするには、Trueを指定します。ユーザアプリケーションはログアウト時にNetIQ Access ManagerまたはiChainのcookieをチェックし、cookieが存在する場合はユーザをICSログアウトページに再転送します。 同時ログアウトを無効にするには、Falseを指定します。 |
NOVL_CONFIG_ICSLOGOUTPAGE= |
Access ManagerおよびiChain設定: [同時ログアウト]ページ。 NetIQ Access ManagerまたはiChainのログアウトページのURLを指定します。URLはNetIQ Access ManagerまたはiChainが期待するホスト名です。ICSログが有効な場合は、ユーザはユーザアプリケーションからログアウトし、ユーザはこのページを再ルーティングします。 |
NOVL_CONFIG_EMAILNOTIFYPROTOCOL= |
電子メール: 通知テンプレートプロトコルトークン。 非セキュアプロトコル、HTTPを参照してください。 プロビジョニング要求タスクと承認通知で使用する電子メールテンプレートの$PROTOCOL$トークンの置き換えに使用します。 |
NOVL_CONFIG_EMAILNOTIFYSECUREPROTOCOL= |
電子メール: 通知テンプレートセキュアポートトークン。 |
NOVL_CONFIG_OCSPURI= |
その他: OCSP URI。 クライアントインストールでOn-Line Certificate Status Protocol(OCSP)を使用する場合は、Uniform Resource Identifier(URI)を指定します。たとえば、http://hstport/ocspLocalというフォーマットで指定します。OCSP URIによって、トラステッド証明書オンラインの状態は更新されます。 |
NOVL_CONFIG_AUTHCONFIGPATH= |
その他: 許可設定パス。 許可環境設定ファイルの完全修飾名。 |
NOVL_CONFIG_CREATEDIRECTORYINDEX |
その他: eDirectoryインデックスの作成 サイレントインストーラで、NOVL_CONFIG_SERVERDNに指定されているeDirectoryサーバ上でmanager、ismanager、およびsrvprvUUIDの各属性にインデックスを作成する場合、trueを指定します。このパラメータがtrueに設定されている場合、NOVL_CONFIG_REMOVEEDIRECTORYINDEXをtrueに設定できません。 最良のパフォーマンス結果を得るには、インデックス作成が完了している必要があります。ユーザアプリケーションを利用可能な状態にする前にインデックスをオンラインモードにする必要があります。 |
NOVL_CONFIG_REMOVEDIRECTORYINDEX |
その他 : eDirectoryインデックスの削除 サイレントインストーラで、NOVL_CONFIG_SERVERDNで指定されているサーバ上のインデックスを削除する場合、trueを指定します。このパラメータがtrueに設定されている場合、NOVL_CONFIG_CREATEEDIRECTORYINDEXをtrueに設定できません。 |
NOVL_CONFIG_SERVERDN |
その他: サーバDN。 インデックスを作成または削除する必要のあるeDirectoryサーバを指定します。 |
NOVL_CREATE_DB |
データベースの作成方法を示します。次の値が有効です。
|
NOVL_DATABASE_NEW |
データベースが新規か既存かを示します。新規の場合はTrueを指定します。 |
NOVL_RBPM_SEC_ADMINDN |
セキュリティ管理者 この役割により、メンバーはセキュリティドメイン内のすべての機能を付与されます。 セキュリティ管理者は、セキュリティドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。セキュリティドメインを使用すると、セキュリティ管理者はRBPM内のすべてのドメインのすべてのオブジェクトのアクセス許可を設定できます。セキュリティ管理者はチームを構成でき、またドメイン管理者、委任管理者、およびその他のセキュリティ管理者も割り当てることができます。 |
NOVL_RBPM_RESOURCE_ADMINDN |
リソース管理者 この役割により、メンバーはリソースドメイン内のすべての機能を付与されます。リソース管理者はリソースドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。 |
NOVL_RBPM_CONFIG_ADMINDN |
この役割により、メンバーは構成ドメイン内のすべての機能を付与されます。RBPM設定管理者は、構成ドメイン内のすべてのオブジェクトで可能なアクションをすべて実行できます。RBPM設定管理者は、RBPM内のナビゲーション項目へのアクセスを制御します。また、RBPM設定管理者は委任と代理サービス、ユーザインタフェースのプロビジョニング、およびワークフローエンジンを設定します。 |
RUN_LDAPCONFIG= |
即時または後でなど、いつLDAPの設定を行うか指定します。次の値があります。
|
アイデンティティアプリケーションとeDirectoryサーバ間の信頼接続を確立するには、アイデンティティアプリケーションにeDirectory証明書をインポートします。
iManagerからeDirectory証明書をエクスポートする:
管理者としてiManagerにログインします。
Roles and Task (役割とタスク) > [NetIQ Certificate Access (NetIQ証明書へのアクセス)] > [Server Certificates (サーバ証明書)]の順に移動します。
SSL CertificateDNS (SSL証明書DNS)チェックボックスをオンにして、エクスポートをクリックします。
証明書ドロップダウンリストから、SSL CertificateDNS (SSL証明書DNS)オプションを選択し、Export private key (秘密鍵のエクスポート)チェックボックスをクリアし、DERとしてエクスポート形式を選択します。
次へをクリックします。
Save the exported certificate (エクスポートされた証明書の保存)をクリックし、エクスポートされた証明書をローカルシステムに保存します。
アイデンティティアプリケーションへのeDirectory証明書のインポート:
アイデンティティアプリケーションをインストールする管理者としてサーバにログインします。
iManagerからエクスポートしたeDirectory証明書をコピーし、keytoolコマンドを実行します。
keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts
Certificate_Pathで、ご使用のコンピュータに保存されているeDirectory証明書の場所を指定します。
ALIAS_NAMEで、証明書の別名を指定します。次に例を示します。
/opt/netiq/idm/jre/bin/keytool -import -trustcacerts -file /opt /Certificate_Import_Path/EdirCertificate -alias EDIR_CERT -keystore /opt /netiq/idm/jre/lib/security/cacerts
識別情報アプリケーションをインストールするコンピュータにrootユーザとしてログインします。
ターミナルセッションを開きます。
インストールの値を指定します。詳細については、セクション 37.3.2, .propertiesファイルの編集およびセクション 28.2.1, サイレントインストールでのパスワードの保護を参照してください。
プラットフォームに応じて次のコマンドを実行してインストールプログラムを起動します。
Linux: ./IdmUserApp.bin -i silent -f /yourdirectorypath/silent.properties
Windows: ./IdmUserApp.exe -i silent -f /yourdirectorypath/silent.properties
メモ:silent.propertiesファイルがインストーラスクリプトとは別のディレクトリにある場合、そのファイルのフルパスを指定する必要があります。このスクリプトは必要なファイルを一時ディレクトリに解凍し、サイレントインストールを起動します。