このセクションでは、次のコンポーネントの更新を含む、アイデンティティアプリケーションおよびサポートするソフトウェアのアップグレードについて説明します。
Identity Managerユーザアプリケーション
OSP (One SSO Provider)
Self-Service Password Reset (SSPR)
Tomcat、JDK、およびActiveMQ
NetIQでは、これらのコンポーネントをアップグレードするためのアップグレードプログラムを用意しています。このプログラムは、Identity Managerインストールパッケージのproducts/RBPM/ディレクトリにあります。次のアップグレードファイルを含むディレクトリに移動します。
「Linux」: RBPM_upgrade.bin
「Windows」: RBPM_upgrade.exe
この章では、以下について説明します。
アップグレードプロセスは、既存のコンポーネントから設定値を読み込みます。この情報には、ism-configuration.properties、server.xml、SSPRConfiguration、および他の設定ファイルが含まれます。これらの設定ファイルを使用して、アップグレードプロセスにより、コンポーネントのアップグレードプログラムが内部的に起動します。また、このプログラムは現在のインストールのバックアップも作成します。
アップグレードを実行する前に、次の考慮事項を確認してください。
Identity Managerはバージョン4.5.5にアップグレードされている: 4.5.5より前のバージョンから4.6のバージョンにアップグレードすることはできません。Identity Manager 4.5へのアップグレード方法の詳細については、『NetIQ Identity Managerセットアップガイド』の「Identity Managerのアップグレード」を参照してください。
役割とリソースサービスドライバパッケージがアップグレードされている: 詳細については、『NetIQ Designer for Identity Manager Administration Guide』の「Upgrading Installed Packages」を参照してください。
アプリケーションサーバとしてのTomcat: このバージョンのIdentity Managerは、アプリケーションサーバとしてTomcatのみをサポートします。
メモ:Identity Manager 4.5のインストール中に、便利なインストーラを使用してTomcatアプリケーションサーバがインストールされていることを確認します。アップグレードプロセスでは、便利なインストーラを使用してインストールされたTomcatのみをアップグレードできます。
Tomcat以外のアプリケーションサーバでアイデンティティアプリケーションを実行している場合は、アプリケーションサーバをTomcatに移行します。詳細については、セクション 58.6, WebsphereまたはJBossからTomcat Webアプリケーションサーバへの移行を参照してください。
データベースプラットフォームがアップグレードされている: このプログラムでは、アイデンティティアプリケーションのデータベースプラットフォームはアップグレードされません。データベースの現在のバージョンを、サポートされているバージョンに手動でアップグレードします。PostgreSQLデータベースのアップグレードについては、PostgreSQLデータベースのアップグレードを参照してください。
ユーザアプリケーションコンテキスト名がデフォルト名に設定されていることを確認する: デフォルトIDMProv以外のユーザアプリケーションのコンテキスト名を設定している場合は、コンテキスト名を変更する必要があります。詳細については、ユーザアプリケーションのカスタムコンテキスト名の変更を参照してください。
セルフサービスパスワードリセット: SSPR 4.0からアップグレードしている場合は、更新されたCATALINA_OPTSプロパティと-Dsspr.application.Pathが、SSPR設定の格納フォルダに設定されていることを確認します。
次に例を示します。
Linux: export CATALINA_OPTS="-Dsspr.applicationPath=/home/sspr_data
Windows: set CATALINA_OPTS="-Dsspr.applicationPath=C:\sspr_data
アップグレードする前にSSPR LocalDBをバックアップします。LocalDBをエクスポートまたはダウンロードするには、次の手順を実行します。
SSPRポータルに管理者としてログインします。
ページの右上隅のドロップダウンメニューから、Configuration Manager (環境設定マネージャ)をクリックします。
LocalDBをクリックします。
Download LocalDB (LocalDBをダウンロード)をクリックします。
PostgreSQLデータベースをアップグレードするには、次の手順を実行します。
重要:アップグレードプロセスは、データベースのサイズによって時間がかかる場合があります。したがって、それに応じてアップグレードを計画してください。
サーバ上で実行されているPostgreSQLサービスを停止します。
次の場所にあるpostgresフォルダの名前を変更します。
Linux: /opt/netiq/idm/apps
Windows: C:\Netiq\IdentityManager\apps
たとえば、postgresの名前をpostgresql_9_3に変更します。
Identity_Applications_version_platform.isoイメージファイルをマウントし、PostgreSQLインストーラを含むディレクトリに移動します。
<iso_extracted_path>/products/RBPM/postgre_tomcat_install
PostgreSQLアプリケーションをインストールします。リストからPostgreSQLを選択します。
Linux (GUI): 実行 ./TomcatPostgreSQL.bin」と入力します。
Linux (コンソール): 実行 ./TomcatPostgreSQL.bin -i console」と入力します。
Windows: TomcatPostgreSQL.exeを実行します
インストール時に、PostgreSQLオプションのみを選択します。
メモ:PostgreSQLの詳細ページで、Create database login account (データベースログインアカウントの作成)とCreate empty database (空のデータベースの作成)チェックボックスを選択しないでください。
サーバに新しくインストールされたPostgreSQLサービスを停止します。
以下のコマンドを使用して、PostgreSQLディレクトリの所有者を変更します。
chown -R postgres:postgres <postgres directory location>
次に例を示します。
chown -R postgres:postgres /opt/netiq/idm/apps/postgres
次のコマンドでpostgresユーザに切り替えます。
su - postgres
postgres/binにディレクトリ変更します。
次のコマンドを使用して、インストール済みのPostgreSQLの場所をエクスポートします。
export PATH=/opt/netiq/idm/apps/postgres/bin:$PATH
次のコマンドを使用して、PostgreSQLパスワードをエクスポートします。
export PGPASSWORD=<enter the database password>
次のコマンドを使用して、PostgreSQLをアップグレードします。
pg_upgrade --old-datadir <old_postgres_location\data> --new-datadir <new_postgres_location\data> --old-bindir <old_postgres_location\bin> --new-bindir <new_postgres_location\bin>
たとえば、/pg_upgrade --old-datadir /opt/netiq/idm/apps/postgresql_9_3/data/ --new-datadir /opt/netiq/idm/apps/postgres/data/ --old-bindir /opt/netiq/idm/apps/postgresql_9_3/bin --new-bindir /opt/netiq/idm/apps/postgres/bin/と入力します。
正常にアップグレードされると、analyze_new_cluster.shおよびdelete_old_cluster.shを実行するメッセージが表示されます。
新規またはアップグレードされたPostgreSQLデータベースサービスを開始します。
postgresユーザに切り替えて、analyze_new_cluster.shを実行します。
su - postgres ./analyze_new_cluster.sh
スクリプトがエラーなしで実行されていることを確認します。
/opt/netiq/idm/apps/postgres/binに移動して、delete_old_cluster.shをrootユーザとして実行します。
.·/delete_old_cluster.sh
デフォルトIDMProv以外のユーザアプリケーションのコンテキスト名を指定した場合は、次の手順を実行して、コンテキスト名をデフォルトのコンテキスト名IDMProvに変更します。
メモ:ism-configuration.propertiesファイルのportal.contextプロパティのコンテキスト名を確認することができます。
Tomcatサービスを停止します。
/etc/init.d/idmapps_tomcat_init stop
webappsフォルダに移動し、デフォルト以外のコンテキスト名を持つフォルダの名前をIDMProvに変更します。
Linux: /opt/netiq/idm/apps/tomcat/webapps
Windows: C:\Netiq\IdentityManager\apps\tomcat\webapps
たとえば、ism-configuration.propertiesファイルのportal.context名がIDMDevである場合、フォルダ名をIDMDevからIDMProvに変更します。
アイデンティティアプリケーションのアップグレードプログラムを実行します。セクション 55.5.4, ガイド付きプロセスを使用したアップグレードまたはセクション 55.5.5, Identity Managerアプリケーションのサイレントアップグレードを参照してください。
アイデンティティアプリケーションのアップグレード後に、元のコンテキスト名にWARファイルを戻します。詳細については、「識別情報アプリケーション」を参照してください。
アップグレードプロセスにより、インストールされたコンポーネントの現在の設定のバックアップが作成されます。ご使用のサーバにバックアップを格納するための十分な容量と、アップグレードに使用可能な追加の空き容量があることを確認します。
次の手順では、ウィザードを使用した識別情報アプリケーション、OSP、SSPR、Tomcat、およびActiveMQアプリケーションのアップグレード方法について説明します。
アップグレードプロセスを実行するサーバにrootまたは管理者ユーザとしてログインします。
Identity_Applications.isoイメージファイルをマウントし、アップグレード用の実行ファイルが置かれているディレクトリ(デフォルトではproducts/RBPM/ディレクトリ)に移動します。
アップグレードプログラムを起動します。プラットフォームに応じて、次のファイルのいずれかを実行します。
「Linux」: RBPM_upgrade.bin
「Windows」: RBPM_upgrade.exe
はじめにページで、アップグレード可能なIdentity Managerコンポーネントを表示できます。次へをクリックします。
使用許諾契約書の条項を確認して同意し、[次へ]をクリックします。
Deployed Applications·(導入したアプリケーション)ページを確認して、次へをクリックします。
このページには現在インストールされているコンポーネントを一覧表示します。TomcatおよびJREのバージョンおよびインストールディレクトリも一覧表示します。他のアプリケーションがサーバに導入される場合、アップグレードプロセスで、アップグレード後にこれらのアプリケーションが適切に動作しない場合があることを示す警告が表示されます。
たとえば、Identity Reporting またはユーザ定義のwarファイルなどです。アップグレードプロセスによって作成されたバックアップから手動でこれらを復元する必要があります。
アップグレードを続行するには、次へをクリックします。
次のパラメータを使用してガイド付きプロセスを完了します。このプログラムは、既存のコンポーネントの値を自動的に入力します。正しい値がパラメータに指定されていることを確認します。
One SSO Provider
アップグレードプログラムがOSP用にアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、OSPがインストールされているパスを参照します。
SSPR
アップグレードプログラムがSSPR用のアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、SSPRがインストールされているパスを参照します。
ユーザアプリケーション
アップグレードプログラムがユーザアプリケーション用のアプリケーションファイルを作成するディレクトリへのパスを表します。パスが正しくない場合、ユーザアプリケーションがインストールされているパスを参照します。
Database Connection
ユーザアプリケーションデータベースに接続するための設定を表します(アイデンティティアプリケーションもこのデータベースに接続します)。アップグレードプログラムには、ユーザアプリケーション設定ファイルにこれらの詳細が含まれます。
ユーザアプリケーションデータベースのプラットフォームを表します。
ユーザアプリケーションをホストするサーバの名前またはIPアドレスを指定します。
データベースサーバがユーザアプリケーションとの通信に使用するポートを指定します。
データベースプラットフォームのJARファイルを指定します。
ドライバJARファイルは、データベースベンダーにより提供され、データベースサーバのjarを表します。たとえば、PostgreSQLの場合、postgresql-9.4-1212.jdbc42.jarを指定します。このファイルはデフォルトで、Linuxでは/opt/netiq/idm/apps/postgresフォルダ、WindowsではC:\netiq\idm\apps\postgresフォルダにあります。また、データベースプラットフォームの適切なjarファイルを指定します。
データベース資格情報
データベースの名前を指定します。デフォルトでは、データベース名はidmuserappdbです。
ユーザアプリケーションによるデータベースデータのアクセスと変更を許可するアカウント名を指定します。デフォルトでは、データベースユーザ名はidmadminです。
指定したユーザ名のパスワードを指定します。
データベースのアップグレード
アップグレードプログラムは、アップグレードプロセスの一環としてデータベーステーブルのスキーマをアップデートします。
アップグレードプログラムは、アップグレード後にユーザアプリケーションを初めて起動するときに、データベーステーブルのスキーマをアップデートするための手順を書き残します。
データベース管理者がデータベースをアップデートするために実行できるSQLスクリプトを生成します。このオプションを選択する場合、[スキーマファイル]に名前を指定する必要もあります。設定はSQL出力ファイル環境設定内にあります。環境内にデータベースを作成または変更する許可がない場合は、このオプションを選択する必要があります。このファイルを使用してテーブルを作成する方法の詳細については、セクション 39.2, 手動によるデータベーススキーマの作成を参照してください。
データベース管理者
データベース管理者の名前とパスワードを表します。
データベースのテーブル、ビュー、または他のアーティファクトを作成できるデータベース管理者のアカウントを指定します。
データベース管理者のパスワードを指定します。
「フォルダのバックアップ」
コンポーネントをインストールした場所に応じて、プロセスによりその場所にバックアップディレクトリが作成され、バックアップしたディレクトリに(バックアップの時間を示す)タイムスタンプが付加されます。
次に例を示します。
Tomcat – /opt/netiq/idm/apps/tomcat_backup_02262017_033634
OSPおよびSSPR - /opt/netiq/idm/apps/osp_sspr_backup_02262017_033634
ActiveMQ - /opt/netiq/idm/apps/activemq_backup_02262017_033634
User Application - /opt/netiq/idm/apps/UserApplication_backup_02262017_033634
アップグレード前の概要ページを確認して、インストールをクリックします。
アップグレードプロセスにより、Tomcatサービスが停止し、アップグレードが開始されます。この処理は完了するまでしばらく時間がかかる場合があります。
アップグレードプロセスが完了したら、/tmp/rbpm_upgrade/からアップグレードログファイルを確認し、いくつかの設定を手動で更新する必要があります。セクション 55.5.6, アップグレード後のタスクを参照してください。
サイレント(非対話型)インストールでは、ユーザインタフェースは表示されません。
Identity Managerアプリケーションをアップグレードする場所にrootユーザまたは管理者としてログインします。
ターミナルセッションを開きます。
プロパティファイルでインストールの値を指定します。
「Linux」: products/RBPM/RBPM_Upgrade_Linux.properties
「Windows」: products\RBPM\RBPM_Upgrade_Win.properties
プラットフォームに応じて次のコマンドを実行してアップグレードプログラムを起動します。
「Linux」: RBPM_Upgrade.bin -i silent -f RBPM_Upgrade_Linux.properties
「Windows」: RBPM_Upgrade.exe -i silent -f RBPM_Upgrade_Win.properties
メモ:RBPM_Upgrade_Linux.propertiesファイルがインストーラスクリプトとは別のディレクトリにある場合、そのファイルの絶対パスを指定する必要があります。このスクリプトは必要なファイルを一時ディレクトリに解凍し、サイレントインストールを起動します。
アップグレードを完了した後で、Tomcat、SSPR、OSP、または識別情報アプリケーションのカスタマイズされた設定を手動で復元する必要があります。
必要なコンポーネントについてアップグレード後の手順を実行します。
新しいJREのアップグレード場所にある証明書(jre/lib/security/cacerts)を古いJREの場所を使用して確認します。証明書がない場合は、cacertsに手動でインポートします。
keytoolコマンドを使用して、java cacertsをインポートします。
keytool -import -trustcacerts -file Cerificate_Path -alias ALIAS_NAME -keystore cacerts
メモ:アップグレード後、JREはアイデンティティアプリケーションのインストール場所に保存されます。例: /opt/netiq/idm/apps/jre
JREホームの場所を確認します。
Linux: tomcat/bin/setenv.sh
Windows: tomcat/bin/setenv.bat
設定更新ユーティリティを起動し、cacertsのパスを確認します。
(状況によって実行)アップグレードプロセスによって以前に作成したバックアップからカスタマイズされたファイルを復元します。
例:
カスタマイズされたhttps証明書。設定を復元するには、バックアップしたserver.xmlから/tomcat/confディレクトリの新しいserver.xml ファイルにJava Secure Socket Extension (JSSE)のコンテンツをコピーします。
バックアップしたTomcatディレクトリから新しいTomcatディレクトリに設定ファイルをコピーしないでください。新しいバージョンのデフォルトの設定から開始し、必要に応じて変更します。詳細については、ApacheのWebサイトを参照してください。
カスタマイズしたキーストアファイルがある場合は、新しいserver.xmlファイルに正しいパスを含めてください。
(状況によって実行) Identity Managerユーザアプリケーションに移動し、バックアップした設定を読み取ることにより、カスタマイズされた設定を手動で復元します。
アップグレードプロセス中に作成したバックアップからカスタマイズされたアイデンティティアプリケーションの設定を復元します。
アップグレードプログラムを実行する前に、カスタムコンテキストフォルダの名前をIDMProvに変更している場合は、configupdateユーティリティを使用してコンテキストフォルダ名を元のコンテキスト名に変更する必要があります。たとえば、元のカスタムコンテキスト名はIDMDevですが、名前をIDMProvに変更します。
コンテキスト名を元のコンテキスト名に戻す場合は、次の手順を実行します。
ユーザアプリケーションディレクトリ/opt/netiq/idm/apps/UserApplicationに移動します。
configupdateユーティリティを起動します。
Linux: configupdate.sh
Windows: configupdate.bat
ユーザアプリケーションタブで、詳細オプションの表示をクリックし、次の手順を実行します。
RBPMコンテキスト名の変更チェックボックスをオンにします。
RBPMコンテキスト名を元のコンテキスト名に変更します。
適切なRoles Driver DN (役割ドライバのDN)を参照して選択し、OKをクリックします。
次のコマンドを使用して、WARファイルの許可と所有権を変更します。
chmod 755 <Original_Context_Name>.war; chown -R novlua:novlua <Original_Context_Name>.war
たとえば、元のカスタムコンテキスト名がIDMDevである場合:
chmod 755 IDMDev.war; chown -R novlua:novlua IDMDev.war
(状況によって実行)すべてのアップグレード後のタスクを完了している場合は、アイデンティティアプリケーションのTomcatサービスを開始します。
OSPおよびユーザアプリケーションが異なるサーバで展開される場合は、設定更新ユーティリティを使用して、SSOクライアントパラメータを更新します。詳細については、「セクション 40.4, SSO Clients Parameters (SSOクライアントパラメータ)」の「セクション 40.4.3, IDMダッシュボード」を参照してください。
デフォルトでは、/etc/logevent.conf ファイルにあるLogHostエントリは、localhostに設定されています。
LogHostエントリを変更するには、アップグレードプロセス時に作成したバックアップからカスタマイズされたOSP設定を手動で復元します。
SSPRをアップグレードした後で、設定更新ユーティリティを使用してSSOクライアントパラメータを更新します。詳細については、「セクション 40.4, SSO Clients Parameters (SSOクライアントパラメータ)」の「セクション 40.4.8, セルフサービスパスワードリセット」を参照してください。
SSPR設定の詳細を更新するには、次の手順を実行します。
SSPRポータルに管理者としてログインします。
監査サーバの詳細を更新するには、次の手順を実行します。
Configuration Editor (環境設定エディタ)に移動して、設定パスワードを指定します。
設定 > Auditing > Audit Forwarding > Syslog Audit Server Certificatesの順に選択します。
サーバからこれらの証明書をインポートして、保存をクリックします。
SSPRにLocalDBをインポートします。
ページの右上隅のドロップダウンメニューから、Configuration Manager (環境設定マネージャ)をクリックします。
LocalDBをクリックします。
Import (Upload) LocalDB Archive File (LocalDBアーカイブファイルのインポート(アップロード))をクリックします。
SSPRの管理者許可を設定します。セクション 32.3, インストール後のタスクを参照してください。
メモ:SSPR 4.0からSSPR 4.1にアップグレードする場合、SSPR設定のカスタマイズされた場所はSSPR 4.1のデフォルトの場所に変更されます。setenv.shファイルで、設定場所に関する追加情報を検索できます。ただし、これによってコンポーネントの動作は影響されません。
たとえば、アップグレードする前に、SSPR設定のパスが-Dsspr.applicationPath='/home/sspr-dataに設定されている場合、アップグレード後に、このパスは、-Dsspr.applicationPath=/opt/netiq/idm/apps/osp_sspr/sspr/sspr_dataに変更され、この場所に関連するすべての設定が復元されます。
アップグレードが正常に完了したことを確認するには、アップグレードしたコンポーネントを起動します。
たとえば、Identity Managerダッシュボードを起動し、バージョン情報をクリックします。アプリケーションが4.6.0などの新しいバージョンを示しているかどうかを確認します。