由于 Identity Console 可以作为 Docker 容器运行,有关安装 Identity Console 的系统要求和支持平台的更多信息,请参见 Docker Documentation(《Docker 文档》)。
安装 Docker 20.10.9-ce 或更高版本。关于如何安装 Docker 的更多信息,请参见 Docker Installation(《Docker 安装》)。
您必须获取包含私用密钥的 pkcs12 服务器证书,以加密/解密 Identity Console 服务器与后端服务器之间的数据交换。此服务器证书用于保护 http 连接。您可以使用任何外部证书颁发机构生成的服务器证书。更多信息,请参见 Creating Server Certificate Objects(创建服务器证书对象)。服务器证书应包含主题备用名称以及 Identity Console 服务器的 IP 地址和 DNS。创建服务器证书对象后,必须以 .pfx 格式导出。
您必须为所有树获取 .pem 格式的证书颁发机构证书,以验证前一步骤中获得的服务器证书的证书颁发机构签名。此 rootCA 证书还确保客户端和 Identity Console 服务器之间建立安全的 LDAP 通信。例如,您可以从 /var/opt/novell/eDirectory/data/SSCert.pem 获取 eDirectory CA 证书 (SSCert.pem)。
(可选)使用 One SSO Provider (OSP),您可以为用户启用到 Identity Console 门户的单点登录 (SSO) 鉴定。在安装 Identity Console 之前,您必须安装 OSP。要为 Identity Console 配置 OSP,按照屏幕提示并提供配置参数所需值。有关详细信息,请参见部署 OSP 容器。要将 Identity Console 注册到现有的 OSP 服务器上,您必须将以下内容手动添加到 /opt/netiq/idm/apps/tomcat/conf/ 文件夹中的 ism-configuration.properties 文件中:
com.netiq.edirapi.clientID = identityconsole com.netiq.edirapi.redirect.url = https://<Identity Console Server IP>:<Identity Console Listener Port>/eDirAPI/v1/<eDirectory Tree Name>/authcoderedirect com.netiq.edirapi.logout.url = https://<Identity Console Server IP>:<Identity Console Listener Port>/eDirAPI/v1/<eDirectory Tree Name>/logoutredirect com.netiq.edirapi.logout.return-param-name = logoutURL com.netiq.edirapi.response-types = code,token com.netiq.edirapi.clientPass._attr_obscurity = NONE com.netiq.edirapi.clientPass = novell
注:对于 OSP,您只能连接到单个 eDirectory 树,因为 OSP 不支持多个 eDirectory 树。
确保 /etc/hosts 中存在针对主机的具有完全限定的主机名的正确 DNS 条目。
如果您想在 Edge 浏览器中使用 Identity Console,您必须下载最新版本的 Microsoft Edge 以获得完整的功能。
注:在 Mozilla Firefox(火狐)中使用 Identity Console 时,操作可能会失败,显示 Origin Mismatch(源不匹配)错误讯息。要查错,执行以下步骤:
将 Firefox 更新为最新版本。
在 Firefox URL 字段中指定 about:config 然后按 Enter 键。
搜索来源。
双击 network.http.SendOriginHeader 并将其值更改为 1。
您可能需要创建包含某些参数的配置文件。如果您想用 OSP 配置 Identity Console,则必须在配置文件中指定 OSP 特定参数。例如,使用 OSP 参数创建以下 edirapi.conf 文件:
注:您必须在 osp-redirect-url 字段中提供您的 eDirectory 树名。
listen = ":9000" ldapserver = "2.168.1.1:636" ldapuser = "cn=admin,ou=sa,o=system" ldappassword = "novell" pfxpassword = "novell" ospmode = "true" osp-token-endpoint = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/getattributes" osp-authorize-url = "https://10.10.10.10:8543/osp/a/idm/auth/oauth2/grant" osp-logout-url = "https://10.10.10.10:8543/osp/a/idm/auth/app/logout" osp-redirect-url = "https://10.10.10.10:9000/eDirAPI/v1/edirtree/authcoderedirect" osp-client-id = "identityconsole" ospclientpass = "novell" ospcert = "/etc/opt/novell/eDirAPI/cert/SSCert.pem" bcert = "/etc/opt/novell/eDirAPI/cert/" loglevel = "error" check-origin = "true" origin = "https://10.10.10.10:9000,https://192.168.1.1:8543"
如果不想用 OSP 配置 Identity Console,创建下文所示的配置文件,无 OSP 参数:
listen = ":9000" pfxpassword = "novell" ospmode = "false" bcert = "/etc/opt/novell/eDirAPI/cert/"
注:当您要使用多个 eDirectory 树配置 Identity Console 时,您可以跳过 ldapserver、ldapuser 和 ldappassword 参数并创建配置文件。
表 1-1 配置文件中配置参数的说明
|
配置参数 |
说明 |
|---|---|
|
listen |
指定 9000 作为容器内 Identity Console 服务器的侦听端口。 |
|
ldapserver |
指定 eDirectory 主机服务器 IP 和端口号。 |
|
ldapuser |
指定 eDirectory 用户的用户名。此参数用作身份凭证,用于在 OSP 登录的情况下使用代理授权控制启动对 eDirectory 的 ldap 调用。Ldap 用户必须对 eDirectory 树具有主管权限。 |
|
ldappassword |
指定 LDAP 用户的口令。 |
|
pfxpassword |
指定 pkcs12 服务器证书文件的口令。 |
|
ospmode |
指定 true 以将 OSP 和 Identity Console 集成。如果您将此设置为 false,Identity Console 将使用 LDAP 登录。 |
|
osp-token-endpoint |
此 URL 用于从 OSP 服务器提取特定属性,以校验身份验证令牌的有效性。 |
|
osp-authorize-url |
此 URL 供用户使用,提供身份凭证以获取身份验证令牌。 |
|
osp-logout-url |
使用此 URL 终止用户和 OSP 服务器之间的会话。 |
|
osp-redirect-url |
OSP 服务器在授予身份验证令牌后将用户重新定向到此 URL。 注:在配置 Identity Console 时,确保以小写形式指定 eDirectory 树名称。如果未以小写形式指定树名称,那么登录 Identity Console 服务器可能会失败。 |
|
osp-client-id |
指定 Identity Console 注册 OSP 时提供的 OSP 客户端 ID。 |
|
ospclientpass |
指定 Identity Console 注册 OSP 时提供的 OSP 客户端口令。 |
|
ospcert |
指定 OSP 服务器 CA 证书的位置。 |
|
bcert |
指定 Identity Console 的证书颁发机构证书的位置。 |
|
loglevel |
指定您想要包括在日志文件中的日志等级。此参数可以设置为 "fatal"、"error"、"warn" 或 "info"。 |
|
check-origin |
如果将其设置为 true,Identity Console 服务器会比较请求的原始值。可用选项为 true 或 false。使用 DNS 配置时,即使 check-origin 参数值设置为 false,origin 参数也是必需的。 |
|
origin |
Identity Console 将请求的原始值与此字段中指定的值进行比较。 注:从 Identity Console 1.4 开始,此参数独立于 check-origin 参数,如果使用 DNS 配置,则此参数是必需的。 |
|
maxclients |
可访问 IDConsole 的并发客户端的最大数量。超出此限制的任何其他客户必须排队等候。 |
注:
仅当计划将 OSP 与 Identity Console 集成时才应使用 ospmode 配置参数。
如果 Identity Applications (Identity Apps) 在 Identity Manager 设置中以群集模式配置,您必须在配置文件中的 osp-token-endpoint、osp-authorize-url 和 osp-logout-url 字段中提供负载均衡器服务器的 DNS 名称。如果您在这些字段中提供 OSP 服务器细节,则 Identity Console 登录将失败。
如果 Identity Console 配置了和 Identity Apps 以及 Identity Reporting 一样的 OSP 实例,那么单点登录 (SSO)(鉴定服务)在您登录 Identity Console 门户时生效。
从 Identity Console 1.4 开始,OSP HTTPS URL 应使用包含 2048 位或更高密钥的证书进行验证。
如果您想限制从不同域访问 Identity Console 门户,将 samesitecookie 参数设置为 strict。如果您想允许从不同域访问 Identity Console 门户,将 samesitecookie 参数设置为 lax。如果配置过程中未指定参数,则默认使用浏览器设置。
在您准备好配置文件之后,部署容器。有关更多信息,请参见 将 Identity Console 部署为 Docker 容器。