3.6 安装后步骤

本节提供有关在安装 Identity Applications 后更新 Tomcat 环境的信息。

3.6.1 将 preferIPv4Stack 属性传递给 JVM

Identity Applications 使用 JGroups 实现超速缓存。在某些配置中，JGroups 需要将 preferIPv4Stack 属性设置为 true，以确保 mcast_addr 绑定成功。

如果不使用此选项，可能会发生以下错误：

[10/1/09 16:11:22:147 EDT] 0000000d UDP           W org.jgroups.util.Util
createMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sure
your mcast_addr is of the same type as the IP stack (IPv4 or IPv6).

您还可能会看到此错误：

[3/21/12 10:04:32:470 EDT] 00000024 UDP      E org.jgroups.protocols.TP down
failed sending message to null (131 bytes)
        java.lang.Exception: dest=/228.8.8.8:45654 (134 bytes)
    at org.jgroups.protocols.UDP._send(UDP.java:353)

参数 java.net.preferIPv4Stack=true 是一项系统属性，与其他系统属性（例如 extend.local.config.dir）的设置方式相同。

3.6.2 检查服务器的运行状况

大多数负载平衡器都提供运行状况检查功能，以确定 HTTP 服务器是否已启动且正在监听。User Application 包含一个 URL，可用于配置负载平衡器上的 HTTP 运行状况检查。该 URL 为：

http://<节点 IP>:端口/IDMProv/jsps/healthcheck.jsp

3.6.3 监视运行状况统计数字

REST API 可让您检索有关 User Application 运行状态的信息。 API 可以访问系统以了解当前正在运行的线程、内存占用、超速缓存和群集信息，并使用 GET 操作返回信息。

内存信息（JVM 和系统内存）： 读取与内存相关的信息，例如系统内存和 JVM 占用的内存。

例如，
```
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/memoryinfo
```
线程信息： 读取大量占用 CPU 的线程的相关信息，并返回导致高 CPU 利用率的排名靠前的线程列表。

例如，
```
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo
```
要访问 JVM 中线程的堆栈跟踪，请将堆栈参数设置为 True。

例如，
```
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?stack=true
```
要指定 JVM 中的线程数，请为 thread-count 参数指定值。

例如，
```
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?thread-count=1
```
超速缓存信息： 读取 User Application 的超速缓存信息。

例如，
```
http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/cacheinfo
```

群集信息： 读取与群集相关的信息。

例如，

http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/clusterinfo

注：您必须是安全管理员才能使用 REST API 查看 User Application 运行状况统计数字。

3.6.4 创建复合索引

安装或升级 Identity Applications 后，为您要用于在 Identity Manager 仪表板中对用户排序的每个属性手动创建复合索引。您可以使用位于 eDirectory 安装路径中的 ndsindex 实用程序来创建复合索引。可以指定多个属性并以 $ 符号分隔来创建复合索引。下面是需要创建复合索引的基本属性：

Surname,Given Name
Given Name,Surname
cn,Surname
Title,Surname
Telephone Number,Surname
Internet Email Address,Surname
L,Surname
OU,Surname

以下命令可帮助您使用 ndsindex 实用程序创建复合索引：

ndsindex add [-h <hostname>] [-p <port>] -D <admin DN> -W|[-w <password>] -s <eDirectory Server DN> [<indexName1>, <indexName2>.....]

例如，要根据职位对用户排序，请执行以下命令：

ndsindex add -h <hostname> -p <ldap port> -D <admin DN> -w <admin passwd> -s <eDirectory Server DN> Title-SN;Title$Surname;value

您也可以使用转换导出实用程序创建复合索引。

必须使用 LDIF 文件来创建索引。导入 LDIF 文件后，请通过触发 Limber 来启动索引编制活动。否则，索引编制会在 Limber 自动触发时才执行。

用于创建复合索引以根据 Title 属性对用户排序的示例 LDIF 文件：

dn: cn=osg-nw5-7, o=Novell

changetype: modify

add: indexDefinition

indexDefinition: 0$sntitleindex$0$0$0$1$Title$surname

有关 LDIF 文件的详细信息，请参见《NetIQ eDirectory Administration Guide》（NetIQ eDirectory 管理指南）中的“LDIF Files”（LDIF 文件）。

3.6.5 配置 Identity Application 以拒绝客户端发起的 SSL 重新协商

默认情况下，Identity Applications 安装程序会配置一个非安全连接 (http)。在某些情况下，非安全连接会使 Identity Manager 容易受到因客户端所发起与 Identity Applications 服务器的 SSL 重新协商而导致的拒绝服务攻击。为防止发生此问题，请将以下标志添加到 <tomcat-install-directory>\bin\setenv.bat 文件中的 CATALINA_OPTS 条目。

 "-Djdk.tls.rejectClientInitiatedRenegotiation=true"