33.3 安装 Identity Applications 的先决条件和注意事项

需要以下 Identity Manager 组件的受支持版本：

有关这些组件的所需版本和增补程序的详细信息，请参见最新的《发行说明》。

确保身份库包括 SecretStore 模块，并且已配置该模块。有关详细信息，请参见部分 12.1.2, 将 SecretStore 添加至身份库纲要。

确保身份库包括已创建且已部署的 User Application 以及 Roles and Resources Service 驱动程序。有关详细信息，请参见部分 38.0, 创建和部署 Identity Applications 的驱动程序。

在安装 Identity Applications 之前，请安装以下框架项目：

（视情况而定）在 SUSE Linux Enterprise Server (SLES) 平台上安装 Identity Applications 时，请不要使用 SLES 随附的 IBM JDK。此版本在某些方面与 User Application 安装不兼容。您应该下载 Oracle JDK。

（视情况而定）要在运行 SLES 12 SP1 或更高版本平台的服务器上进行引导式安装，请确保服务器上已安装 libXtst6-32bit-1.2.1-4.4.1.x86_64、libXrender-32bit 和 libXi6-32bit 库。

（可选）NetIQ 建议为 Identity Manager 组件之间的通讯启用安全套接字层 (SSL) 协议。要使用 SSL 协议，必须在您的环境中启用 SSL，并在安装期间指定 https。有关启用 SSL 的信息，请参见《NetIQ Analyzer for Identity Manager Administration Guide》（NetIQ Analyzer for Identity Manager 管理指南）中的“Configuring Security in the Identity Applications”（配置 Identity Applications 中的安全性）。

在创建角色和资源驱动程序之前创建 User Application 驱动程序。角色和资源驱动程序会参照 User Application 驱动程序中的角色库容器 (RoleConfig.AppConfig)。

您不能将 Role and Resource Service 驱动程序与 Remote Loader 配合使用，因为该驱动程序使用 jClient。

将 JAVA_HOME 环境变量设置为指向您想要与 Identity Applications 配合使用的 JDK。要覆盖 JAVA_HOME，请在安装期间手动指定路径。

默认情况下，安装过程会将程序文件放置在 C:\NetIQ\IDM 或 /opt/netiq/idm 目录中。如果您计划将 User Application 安装在非默认位置，请在开始执行安装过程之前，确保新目录符合以下要求：

每个 User Application 实例只能为一个用户容器提供服务。例如，您只能在与该实例关联的容器中添加用户、执行搜索和查询。此外，用户容器与应用程序之间的关联是永久性的。

（视情况而定）如果您计划使用外部口令管理，您的环境必须符合以下要求：

有关为 Tomcat 启用 SSL 的详细信息，请参见部分 52.4, 更新应用程序服务器的 SSL 设置。

有关 IDMPwdMgt.war 文件的详细信息，请参见部分 39.6, 配置忘记口令管理。

为了支持通过 Virtual List View (VLV) 和 Server Side Sort (SSS) 控件进行 LDAP 搜索，请对 eDirectory 9.0.2 或 eDirectory 8.8.8 Patch 9 应用 Hotfix 2。有关详细信息，请参见部分 11.0, 将 Hotfix 2 应用于身份库。

如果您是使用集成安装程序安装 eDirectory 的，则无需应用此热修复。集成安装程序会安装已应用此热修复的更新版 eDirectory。

（可选）要从受管系统检索授权，请安装一个或多个 Identity Manager 驱动程序。

只有在您完成以下活动之后，用户才能访问 Identity Applications：

在 Identity Manager 环境中启用 SSO 后，用户将不再能够以 guest 或匿名用户身份访问 Identity Applications。系统将提示用户登录到用户界面。有关详细信息，请参见部分 XV, 在 Identity Manager 中配置单点登录访问。

为确保 Identity Manager 强制实施通用口令功能，请将身份库配置为在用户首次登录时使用“NMAS 登录”。

（视情况而定）要运行报告，必须在环境中安装 Identity Reporting 的组件。有关详细信息，请参见《Administrator Guide to NetIQ Identity Reporting》（NetIQ Identity Reporting 管理员指南）。

在安装过程中，安装程序会将日志文件写入安装目录。这些文件包含有关您的配置的信息。配置 Identity Applications 环境后，应考虑删除这些日志文件或将其储存在安全位置。在安装过程中，可以选择将数据库纲要写入到文件。由于此文件包含有关数据库的描述性信息，因此在安装过程完成后应将文件移至安全位置。

（视情况而定）要审计 Identity Applications，必须在环境中安装并配置 Identity Reporting 和审计服务，以捕获事件。此外，还必须配置 Identity Applications，以便能够进行审计。有关详细信息，请参见

（可选）您可以将 Identity Applications 配置为使用 SAML 鉴定来与 NetIQ Access Manager 配合工作。有关详细信息，请参见部分 49.0, 对 NetIQ Access Manager 使用 SAML 鉴定进行单点登录。

Tomcat 必须与 Java 开发包 (JDK) 或 Java 运行时环境 (JRE) 搭配运行。有关支持的版本的详细信息，请参见部分 33.4, Identity Applications 的系统要求。

将 JAVA_HOME 环境变量设置为指向您打算与 User Application 配合使用的 JDK。要覆盖 JAVA_HOME，请在安装期间手动指定路径。

（视情况而定）您可以使用自己的 Tomcat 安装程序，而不使用 Identity Manager 安装套件中提供的安装程序。但是，要将 Apache Log4j 服务与您的 Tomcat 版本配合使用，请确保安装了相应的文件。有关详细信息，请参见部分 29.4, 使用 Apache Log4j 服务记录登录。

（视情况而定）要保留您数字签名的文档，必须在 Tomcat 应用程序服务器上安装 Identity Applications，并使用 Novell Identity Audit。数字签名文档不是随工作流程数据储存在 User Application 数据库中，而是储存在日志记录数据库中。此外，还必须启用日志记录才能保留这些文档。有关详细信息，请参见《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》（NetIQ Identity Manager - Identity Applications 管理员指南）中的“Setting Up Logging in the Identity Applications”（在 Identity Applications 中设置日志记录）。

（视情况而定）在要记录大量用户数据或您的目录服务器包含大量对象的环境中，您可能需要使用多个部署有 Identity Applications 的应用程序服务器。有关进行性能优化配置的详细信息，请参见《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》（NetIQ Identity Manager - Identity Applications 管理员指南）中的“Tuning the Performance of the Applications”（优化应用程序的性能）。

（视情况而定）如果您使用 Tomcat 应用程序服务器，在完成安装过程之前，请勿启动该服务器。

（视情况而定）要使用外部口令管理，必须执行以下操作来启用安全套接字层 (SSL) 协议：

有关 IDMPwdMgt.war 文件的详细信息，请参见配置忘记口令管理和《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》（NetIQ Identity Manager - Identity Applications 管理员指南）。

安装进程不会修改 Tomcat 服务器上的 JAVA_HOME 或 JRE_HOME 条目。默认情况下，Tomcat 的便捷安装程序会将 setenv.sh 文件放置在 /opt/netiq/idm/apps/tomcat/bin/ 目录中。安装还会在该文件中配置 JRE 位置。

群集必须具有唯一的群集分区名称、多路广播地址和多路广播端口。使用唯一的标识符可以区分多个群集，防止出现性能问题和异常行为。

必须同步群集中服务器的时钟。如果服务器时钟不同步，会话可能会提前超时，导致 HTTP 会话故障转移无法正常工作。

NetIQ 建议不要在同一个主机上的浏览器选项卡或浏览器会话之间使用多个登录。某些浏览器在选项卡和进程之间共享 Cookie，因此，允许多个登录可能会导致 HTTP 会话故障转移出现问题（此外，如果多个用户共享一台计算机，还可能会给鉴定功能带来意外的风险）。

群集节点位于在同一个子网中。

故障转移代理或负载平衡解决方案安装在单独的计算机上。

要配置与 Tomcat 搭配使用的数据库，必须创建一个 JDBC 驱动程序。Identity Applications 使用标准 JDBC 调用来访问并更新该数据库。Identity Applications 使用绑定到 JNDI 树的 JDBC 数据源文件开启与数据库的连接。

必须有一个指向该数据库的现有数据源文件。User Application 安装程序将在 server.xml 和 context.xml 中创建一个指向数据库的 Tomcat 数据来源条目。

确保具备以下信息：

数据库实例可以位于本地计算机上，也可以位于连接的服务器上。

数据库字符集必须使用 Unicode 编码。例如，UTF-8 就是一种使用 Unicode 编码的字符集，而 Latin1 则不使用 Unicode 编码。有关指定字符集的详细信息，请参见部分 35.3.1, 配置字符集或部分 35.1, 配置 Oracle 数据库。

为了避免在迁移期间发生重复键错误，请使用区分大小写的排序规则。如果发生重复键错误，请检查排序规则并更正它，然后重安装 Identity Applications。

（视情况而定）要将同一个数据库实例用于审计和 Identity Applications，NetIQ 建议在一个独立的专用服务器（而非托管运行 Identity Applications 的 Tomcat 的服务器）上安装该数据库。

（视情况而定）如果正要迁移到新版 Identity Applications，必须使用之前安装所用的同一个数据库。

数据库群集属于各相关数据库服务器的功能。NetIQ 不提供对任何群集数据库配置的官方测试，因为群集与产品功能不相关。因此，我们在支持群集数据库服务器的同时，作出以下声明：