NetIQ Identity Manager Standard Edition 快速入门指南

2015 年 2 月

本文档提供安装、配置和升级 Identity Manager 4.5 Standard Edition 的指导原则。

1.0 概述

Identity Manager 4.5 Standard Edition 提供下列功能:

  • 基于规则的自动化供应

  • 口令管理 (Self Service Password Reset)

  • Identity Reporting

  • 内容打包框架

  • 单点登录 (One SSO)

  • Analyzer

  • Designer

    有关详细信息,请参见《NetIQ Identity Manager 安装指南》

重要说明:集成模块对于 Identity Manager Advanced Edition 和 Standard Edition 继续保持一致。

有关新功能、增强功能,以及本版本中已更改或不再支持的功能的信息,请参见《发行说明》

2.0 组件

Identity Manager 4.5 Standard Edition 包含下列组件:

  • 身份库

  • iManager

  • Identity Manager 引擎

  • Designer

  • Analyzer

  • Remote Loader

  • Event Auditing Service (EAS)

  • Tomcat(支持的应用程序服务器)

  • 单点登录 (One SSO)

  • Self Service Password Reset (SSPR)

  • Identity Reporting

要了解 Identity Manager 各组件之间的交互,请参见《NetIQ Identity Manager 安装指南》中的简介

3.0 安装 Identity Manager 4.5 Standard Edition

产品网站下载该软件。以下 .iso 文件包含用于安装 Identity Manager 各组件的 DVD 映像:

  • Identity_Manager_4.5_Linux_Standard.iso

  • Identity_Manager_4.5_Windows_Standard.iso

安装文件位于 Identity Manager 安装包的 products/ 目录中。有关默认安装位置的信息,请参见《发行说明》中的“查找安装路径”

NetIQ 建议您查看《发行说明》中的“安装先决条件”,然后按指定的顺序运行下面的核对清单。每个任务都提供了简要信息和可供您找到完整细节的参照。有关安装每个 Identity Manager 组件的具体细节,请参见《NetIQ Identity Manager 安装指南》

任务

注释

  1. 先决条件

  1. 规划安装

请参见《NetIQ Identity Manager 安装指南》中的规划安装 Identity Manager

  1. 安装顺序

请务必按以下顺序安装组件,因为一些组件的安装程序需要之前安装的组件的信息。

  1. eDirectory

  2. iManager

  3. Identity Manager 引擎

  4. Designer

  5. Analyzer

  6. Event Auditing Service (EAS)

  7. Tomcat(支持的应用程序服务器)

  8. 单点登录和口令管理组件

  9. Identity Reporting

重要说明:安装程序将 Identity Manager 的组件安装在

  1. 安装并配置 eDirectory

安装 eDirectory 8.8.8 Patch 3 或更高版本。有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装身份库

  • 安装并配置 eDirectory 之后,停止 eDirectory 服务。

  • 应用最新发布的 eDirectory 增补程序。

  • 启动 eDirectory 服务。

  1. 安装并配置 iManager

安装 iManager 2.7.7 Patch 2 或更高版本。

要使审计功能正常工作,请安装 iManager 2.7.7 Patch 3 或更高版本。有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装 iManager

  1. 安装 Identity Manager 引擎、驱动程序和插件

有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装 Identity Manager 引擎、驱动程序和插件

注:安装程序不会在身份库中创建 DirMXL-PasswordPolicy 对象。安装 Identity Manager 引擎之后,起动 Designer 并创建驱动程序集。安装包含 DirMXL-PasswordPolicy 的 Identity Manager 默认通用口令策略包。将此策略添加到驱动程序集中。请针对身份库中的每个 Identity Manager 驱动程序集执行此操作。

  1. 安装 Event Auditing Service

有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装 Event Auditing Service

  1. 安装 Tomcat

请只选择 Tomcat 来部署 Identity Reporting。您无需安装 PostgreSQL,因为您稍后不会安装 RBPM。有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装 PostgreSQL 和 Tomcat

注:如果您在安装了 iManager 的计算机上安装 Tomcat,请勿将端口 8080 用于 Tomcat。如果其他端口已被使用,请在安装期间进行更改。

  1. 安装单点登录和口令管理组件

有关安装指导,请参见《NetIQ Identity Manager 安装指南》中的安装单点登录和口令管理组件

安装单点登录和口令管理组件之后,请执行以下操作:

  • 扩展 eDirectory 纲要。 此任务可让您使用对象类和属性定义扩展 eDirectory 纲要。

    1. 将以下内容复制到一个文件中,并将其另存 .ldif 文件。 

                      dn: o="Your Organization"
                changetype: modify
                add: ACL
		ACL: 7#subtree#[This]#pwmResponseSet

    2. 在 iManager 中,转到角色和任务 > 纲要 > 扩展纲要 > 从磁盘上的文件导入数据,然后单击下一步

    3. 单击要导入的文件,并浏览到该 .ldif 文件。确认此文件包含名称为 o="您的组织"Organization 容器,否则,请添加现有的 Organization 容器名称,然后单击下一步

    4. 为下列字段指定值,然后依次单击下一步完成

      • 服务器 DNS 名称/IP 地址

      • 鉴定登录

      • 用户 DN

      • 口令

      注:默认情况下,LDAP 服务器不接受不安全的连接。您可以使用 SSL 鉴定,或更改服务器设置以允许明文连接。

      文件导入完成后,窗口会显示导入成功讯息。

  • 设置 SSL 审计。 如果您在安装 SSPR 期间启用了审计,则 SSPR 需要 SSL 证书来审计事件。有关导入 SSL 证书及审计事件的指导,请参见《NetIQ Self Service Password Reset 3.2 Administration Guide》(NetIQ Self Service Password Reset 3.2 管理指南)中的“Setting Up SSL Auditing”(配置 SSL 审计)

  1. 安装并配置 Identity Reporting

  1. 有关 Identity Reporting 所需组件和框架的一般信息,请参见《NetIQ Identity Manager 安装指南》中的安装 Identity Reporting 组件

  2. 有关通过 GUI 或控制台使用安装向导来安装 Identity Reporting 的信息,请参见部分 3.1, 安装 Identity Reporting

  3. 要执行无提示安装,请参见以无提示模式安装 Identity Reporting

  4. 要配置驱动程序,请参见《NetIQ Identity Manager 安装指南》中的配置 Identity Reporting 的驱动程序

  5. 要为 Identity Reporting 部署 REST API,请参见《NetIQ Identity Manager 安装指南》中的部署 Identity Reporting 的 REST API

注:您必须将报告定义导入到 Identity Reporting 中。要下载它们,请使用 Reporting 应用程序中的“下载”页面。

  1. 激活 Identity Manager

激活 Identity Manager 组件。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的激活 Identity Manager

3.1 安装 Identity Reporting

Identity Manager 安装包 .iso 映像文件内的 products/EASproducts/Reporting 目录中包含了安装文件。默认情况下,安装程序将在以下位置中安装组件:

  • Linux/opt/netiq/idm/apps/IDMReporting

  • WindowsC:\netiq\idm\apps\IDMReporting

使用引导式过程安装 Identity Reporting

以下过程描述如何通过 GUI 或控制台使用安装向导来安装 Identity Reporting。

要进行安装准备工作,请查看《NetIQ Identity Manager 安装指南》Identity Reporting 的系统要求《发行说明》中列出的先决条件与系统要求。

  1. 确保事件审计服务中的 SIEM 数据库正在运行。

    安装程序将在该数据库中创建表并校验连接。程序还会安装 PostgreSQL JDBC 驱动程序的 JAR 文件,并自动使用此文件建立数据库连接。

  2. 登录要安装 Identity Reporting 的计算机。

  3. 停止应用程序服务器。在此案例中,该服务器为 Tomcat。

  4. (视情况而定)如果您已获取 Identity Manager 安装包的 .iso 文件,请浏览到包含 Identity Reporting 安装文件的目录(默认位于 products/Reporting/ 目录中)。

  5. (视情况而定)如果您已从 NetIQ 下载网站下载了 Identity Reporting 安装文件,请完成以下步骤:

    1. 浏览到所下载映像的 .tgz 文件。

    2. 将该文件的内容解压缩到本地计算机上的某个文件夹中。

  6. 从包含安装文件的目录完成以下操作之一:

    • Linux(控制台):输入 ./rpt-install.bin -i console

    • Linux (GUI):输入 ./rpt-install.bin

    • Windows:运行 rpt-install.exe

  7. 在安装程序中,指定要用于安装的语言,然后单击确定

  8. 查看“简介”文本,然后单击下一步

  9. 接受许可协议,然后单击下一步

  10. 要完成引导式过程,请指定以下参数的值:

    • 安装文件夹

      指定安装文件所在的位置。

    • 身份库连接细节

      表示身份库的连接设置。要在安装后修改这些设置,请使用位于 /opt/netiq/idm/apps/IdentityReporting/bin/lib 目录中的报告配置实用程序 (configupdate.sh)。

      身份库服务器

      指定身份库服务器的 DNS 名称或 IP 地址。

      安全 LDAP 端口

      指定您希望 Identity Reporting 用于与身份库通讯的 LDAP 端口。

    • 应用程序服务器平台

      指定要运行核心 (IDMRPT-Core.war)、EASREST REST API (easrestapi.war)、EAS Webstart (easwebstart.war) 和 Reporting REST API 参照 WAR (rptdoc.war) 文件的应用程序服务器。NetIQ 只支持对 Identity Reporting 使用 Tomcat。

      注:请不要更改这些 WAR 文件的名称。如果您更改了文件名,部署过程将会失败。

    • 应用程序服务器细节

      指定 Tomcat 实例的部署目录或 webapps 目录的路径。例如,/opt/netiq/idm/apps/tomcat/webapps

    • 应用程序服务器连接

      表示用户在连接到应用程序服务器上的 Identity Reporting 时需要使用的 URL 设置。例如:https:myserver.mycompany.com:8080

      注:如果 OSP 在不同的应用程序服务器实例上运行,则您还必须选择连接外部鉴定服务器并指定 OSP 服务器的值。

      协议

      指定是要使用 http 还是 https。要使用 SSL 进行通讯,请指定 https

      主机名

      指定应用程序服务器的 DNS 名称或 IP 地址。请不要使用 localhost

      端口

      指定您希望应用程序服务器在与 Identity Manager 通讯时使用的端口。

      连接外部鉴定服务器

      指定是否要用不同的应用程序服务器实例来托管鉴定服务器 (OSP)。鉴定服务器包含可登录 Identity Reporting 的用户的列表。

      如果选择此设置,则还要指定鉴定服务器的协议主机名端口值。

    • 鉴定服务器细节

      指定您要创建以供 Identity Reporting 服务在连接鉴定服务器上的 OSP 客户端时使用的口令。

      要在安装后修改此口令,请使用报告配置实用程序。

    • 事件审计服务

      指定是否要使用 NetIQ Event Auditing Service (EAS) 来跟踪 Identity Reporting 中的事件。

      如果选择此设置,则还需指定托管 EAS 的服务器的 DNS 名称或 IP 地址。

    • 数据库细节

      表示 SIEM 数据库的设置。

      数据库端口

      指定 SIEM 数据库的端口。默认值是 15432。

      DBA 口令

      指定数据库管理帐户的口令。

      如果您使用了 EAS,安装程序将为 dbauser 帐户创建此口令。

      idmrptsrv 用户口令

      指定拥有数据库中 Identity Reporting 纲要和视图的帐户的口令。

      安装程序会为 idmrptsrv 帐户创建此口令。

      idmrptuser 用户口令

      指定可访问数据库以运行报告的帐户的口令。

      安装程序会为 idmrptuser 帐户创建此口令。

      测试数据库连接

      指定是否要让安装程序测试您为数据库指定的值。

      当您单击下一步或按 Enter 后,安装程序即会尝试建立连接。

      注:如果数据库连接失败,您可以继续安装。但在安装后,您必须手动创建表并连接到数据库。

    • 鉴定细节

      表示鉴定服务器的设置。要在安装后修改这些设置,请使用报告配置实用程序。

      基本容器

      指定列出可登录 Identity Reporting 的用户的容器 DN。例如:o=data

      注:如果 DN 包含特殊字符,您可能需要转义这些字符。有关详细信息,请参见 RFC 2253/4514 的第 2.4 部分。

      登录属性

      指定要用于搜索用户容器子树的属性。例如:cn

      目标区域设置

      指定要用于 Identity Reporting 的语言。应用程序将在搜索中使用指定的区域配置。

    • 身份库身份凭证

      表示身份库服务器的身份库身份凭证。

      身份库管理员

      指定有权为其他用户授予和撤消角色的管理员用户 DN。

      身份库管理员口令

      指定管理员用户的口令。

      密钥储存区路径

      指定包含 SSL 连接中将信任的证书的密钥存储区文件路径。默认为 OSP SSPR 安装程序创建的路径。

      密钥储存区口令

      指定用于打开密钥存储区文件的口令。默认口令为 changeit

      报告管理员角色容器 DN

      指定安装程序将在其中创建 reportAdmin 角色的容器 DN。

      报告管理员用户 DN

      指定安装程序将为其指定 reportAdmin 角色的用户 DN。

      注:请确保 reportAdmin 角色所在的容器不包含任何同名的对象。

    • 选择 Java JRE 基本文件夹路径

      表示应用程序服务器所用 JRE 的位置。

      Java JRE 基本文件夹

      指定应用程序服务器所用 JRE 的路径。例如 /opt/netiq/idm/apps/jre

    • 电子邮件递送

      表示发送报告通知的 SMTP 服务器的设置。要在安装后修改这些设置,请使用报告配置实用程序。

      默认电子邮件地址

      指定您希望 Identity Reporting 用来发送电子邮件通知的电子邮件地址。

      SMTP 服务器

      指定 Identity Reporting 用于发送通知的 SMTP 电子邮件主机的 IP 地址或 DNS 名称。请不要使用 localhost

      SMTP 服务器端口

      指定 SMTP 服务器的端口号。默认值是 465。

      对 SMTP 使用 SSL

      指定是否要使用 SSL 协议来与 SMTP 服务器通讯。

      需要服务器鉴定

      指定是否要对与 SMTP 服务器之间的通讯使用鉴定。

      如果选择此设置,则还需指定电子邮件服务器的身份凭证。

    • 报告细节

      表示与维护已完成报告相关的设置。

      将完成的报告保留

      指定 Identity Reporting 在删除已完成报告之前应保留这些报告的时间。例如,要指定六个月,请输入 6 然后选择

      报告定义的位置

      指定要将报告定义储存到的路径。例如:/opt/netiq/IdentityReporting

    • Novell Identity Audit

      表示 Identity Reporting 中审计活动的设置。

      对 Identity Reporting 启用审计

      指定是否要将日志事件发送到审计服务器。

      如果选择此设置,则还需指定审计日志超速缓存的位置。

      审计日志超速缓存文件夹

      仅当为 Identity Reporting 启用了审计时才适用。

      指定要用于审计的超速缓存目录的位置。例如:/opt/novell/Identity Reporting

      注:如果您启用了审计,请确保 logevent 文件中包含超速缓存目录和 nauditpa.jar 文件的有效路径。如果未正确定义这些设置,Identity Reporting 将无法启动。

    • NAudit 证书

      仅当为 Identity Reporting 启用了审计时才适用。

      表示用于将 Identity Reporting 中的事件发送到 EAS 的 NAudit 服务的设置。

      指定现有证书/生成证书

      指定是要使用 NAudit 服务器的现有证书,还是创建新的证书。

      输入公共密钥

      仅当您要使用现有证书时才适用。

      列出您希望 NAudit 服务用来鉴定发送到 EAS 的审计讯息的自定义公共密钥证书。

      输入 RSA 密钥

      仅当您要使用现有证书时才适用。

      指定您希望 NAudit 服务用来鉴定发送到 EAS 的审计讯息的自定义私用密钥文件所在路径。

  11. 复查“安装前摘要”窗口中的信息,然后单击安装

以无提示模式安装 Identity Reporting

无提示(非交互式)安装不会显示用户界面,或者不会向用户提示任何问题。相反,系统会使用 .properties 文件中的信息。您可以使用默认文件运行无提示安装,或者编辑该文件以自定义安装过程。

要进行安装准备工作,请查看《NetIQ Identity Manager 安装指南》Identity Reporting 的系统要求中列出的先决条件和系统要求。另请参见版本随附的《发行说明》。

  1. (视情况而定)如果不想在 .properties 文件中为无提示安装指定用于安装的管理员口令,请使用 exportset 命令。例如:

    • Linuxexport NOVL_ADMIN_PWD=myPassWord

    • Windowsset NOVL_ADMIN_PWD=myPassWord

    无提示安装过程将从环境中读取口令,而不是从 .properties 文件中读取。

    指定以下口令:

    NETIQ_DB_RPT_USER_PASSWORD

    指定 SIEM 数据库管理员的口令。

    NETIQ_IDM_SRV_PWD

    指定用于报告的数据库纲要和对象拥有者的口令。

    NETIQ_IDM_USER_PWD

    指定对报告数据具有只读访问权的 idmrptuser 的口令。

    NETIQ_EAS_SYSTEM_PASSWORD

    指定 EAS 服务器的口令。

    您可以从安装了 EAS 的计算机上 activemqusers.properties 文件中的系统属性复制系统口令。

    NETIQ_ADMIN_PWD

    (视情况而定)要在登录时启用子容器搜索,请指定 LDAP 管理员的口令。

    NETIQ_SMTP_PASSWORD

    (视情况而定)要对电子邮件通讯使用鉴定,请指定默认 SMTP 电子邮件用户的口令。

  2. 要指定安装参数,请完成以下步骤:

    1. 确保 .properties 文件位于安装可执行文件所在的目录中。

      为方便起见,NetIQ 提供了两个 .properties 文件(这些文件默认位于 .iso 映像的 products/Reporting 目录中):

      • rpt_installonly.properties,使用默认安装设置

      • rpt_configonly.properties,用于自定义安装设置

    2. 在文本编辑器中打开 .properties 文件。

    3. 指定参数值。有关参数的说明,请参见步骤 10

    4. 保存并关闭文件。

  3. 要起动安装过程,请输入以下命令之一:

    • Linux: ./rpt-install.bin -i silent -f path_to_properties_file

    • Windows: ./rpt-install.exe -i silent -f path_to_properties_file

      注:如果 .properties 文件不在安装脚本所在的目录中,则您必须指定该文件的完整路径。该脚本会将必要的文件解压缩到一个临时目录,然后起动无提示安装。

安装后任务

  • 要在安装后修改安装属性,请根据您的平台运行相应的配置更新实用程序。

    • Linux: 运行 /opt/netiq/idm/apps/IdentityReporting/bin/lib 中的 configupdate.sh

    • Windows: 运行 C:\netiq\idm\apps\IdentityReporting\bin\lib 中的 configupdate.bat

    如果使用配置工具更改了 Identity Reporting 的任何设置,您必须重启动应用程序服务器才能使更改生效。但是,在 Identity Reporting 的 Web 用户界面中进行更改后,则不需要重启动服务器。

  • 以报告管理员身份访问 Reporting URL。URL 采用以下模式:http://server:端口/IDMRPT/。确保鉴定和授权成功。如果您没有足够的管理权限,NetIQ 建议您不要尝试登录。

    重要说明:如果您以没有权限的用户身份登录 Reporting 应用程序,注销选项和主页链接将不会显示。

4.0 升级 Identity Manager

对于 Identity Manager 4.0.2 Standard Edition,NetIQ 支持下列升级路径:

  • Identity Manager 4.0.2 Standard Edition 升级到 Identity Manager 4.5 Standard Edition

  • Identity Manager 4.5 Standard Edition 升级到 Identity Manager 4.5 Advanced Edition

您不能直接从 Identity Manager 4.0.2 Standard Edition 升级到 Identity Manager 4.5 Advanced Edition。不过,您可以选择使用下列其中一种方式来完成升级:

  • 将 Identity Manager 4.0.2 Standard Edition 升级到 Identity Manager 4.5 Standard Edition,然后再升级到 Identity Manager 4.5 Advanced Edition。

  • 将 Identity Manager 4.0.2 Standard Edition 升级到 Identity Manager 4.0.2 Advanced Edition,然后再升级到 Identity Manager 4.5 Advanced Edition。

4.1 将 Identity Manager 4.0.2 Standard Edition 升级到 Identity Manager 4.5 Standard Edition

要执行升级,NetIQ 建议您查看《发行说明》中的“升级先决条件”,然后按相同的顺序完成下列任务:

任务

注释

  1. 查看升级与迁移之间的区别

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的了解升级和迁移

  1. 升级到 Identity Manager 4.0.2

您不能直接从低于 4.0.2 的版本升级或迁移到 4.5 版。有关详细信息,请参见《NetIQ Identity Manager Setup Guide 4.0.2》(NetIQ Identity Manager 4.0.2 安装指南)。

  1. 取得升级/迁移所需的文件

确保您拥有用于将 Identity Manager 升级/迁移到 4.5 Standard Edition 的最新安装套件。

  1. Identity Manager 各组件之间的交互

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的简介

  1. 系统要求

确保您的计算机符合较新版 Identity Manager 的硬件和软件先决条件。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装的注意事项和先决条件与随附的《发行说明》。

  1. 备份当前的项目、驱动程序配置和数据库

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的备份当前配置

  1. 升级 Analyzer

将 Designer 升级到最新版本。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Analyzer

  1. 升级 Designer

将 Designer 升级到最新版本。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Designer

  1. 升级 eDirectory

在运行 Identity Manager 的服务器上,将 eDirectory 升级到最新版本和增补程序。有关详细信息,请参见《NetIQ eDirectory 8.8 Installation Guide》(NetIQ eDirectory 8.8 安装指南)和《Identity Manager Release Notes》(Identity Manager 发行说明)。

  1. 升级 iManager

将 iManager 升级到最新版本和增补程序。有关升级指导,请参见《NetIQ Identity Manager 安装指南》中的升级 iManager

  1. 停止驱动程序

停止与 Identity Manager 引擎安装所在的服务器(元目录)关联的驱动程序。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的停止驱动程序

  1. 升级 Identity Manager 引擎

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Identity Manager 引擎

注:如果要将 Identity Manager 引擎迁移到新服务器,您可以使用与当前 Identity Manager 服务器上相同的 eDirectory 复本。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的将 Identity Manager 迁移到新服务器

  1. (视情况而定)升级 Remote Loader

如果 Identity Manager 引擎的驱动程序集中有任何驱动程序是 Remote Loader 驱动程序,请升级每个驱动程序的 Remote Loader 服务器。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Remote Loader

  1. (视情况而定)升级包

如果使用的是包而不是驱动程序配置文件,请升级现有驱动程序上的包以获取新策略。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Identity Manager 驱动程序

只有在以下情况下才需要升级该驱动程序:有较新版本的包可用,且要添加到现有驱动程序的驱动程序策略中包括新功能。

  1. 应用 Identity Manager 4.5 Standard Edition 激活密钥

在 iManager 中,请务必应用 Identity Manager 4.5 Standard Edition 激活密钥。如果您不应用激活密钥,Identity Manager 引擎和驱动程序将以评估模式运行。

  1. 去除 RBPM 和 Identity Reporting 的文件及文件夹

从当前应用程序服务器中去除 RBPM 和 Identity Reporting 的文件及文件夹。您需要执行以下操作来完成此任务:

  1. (视情况而定)从应用程序服务器中卸装 RBPM 和 Identity Reporting WAR 文件。为此,请按照应用程序服务器特定的文档中的指导操作。

  2. 停止安装了 RBPM 和 Identity Reporting 的应用程序服务器。

  3. 运行 Identity Reporting 卸装程序去除安装文件和文件夹。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的卸装 Identity Reporting

  4. 运行 RBPM 卸装程序去除安装文件和文件夹。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的卸装 Roles Based Provisioning Module

  1. 去除 User Application 驱动程序及 Role and Resource Service 驱动程序。

从已升级安装的驱动程序集和 Designer 项目中去除 User Application 驱动程序和 Roles and Resource Service 驱动程序。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的删除 Roles Based Provisioning Module 的驱动程序

  1. 安装 Identity Reporting 组件

安装 Identity Reporting 组件。您需要执行以下操作来完成此任务:

  1. 创建 EAS 数据的备份。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的备份驱动程序的纲要

  2. 升级 Event Auditing Service (EAS)。要升级 EAS,请安装新版本并覆盖旧版本。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的升级 Event Auditing Service

  3. 安装程序提供了安装 Tomcat 和 PostgreSQL 的选项。请选择只安装 Tomcat。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的为 Identity Manager 安装 PostgreSQL 和 Tomcat

  4. 安装并配置 NetIQ One SSO Provider (OSP) 和 Self Service Password Reset (SSPR)。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装单点登录和口令管理组件

  5. 安装 Identity Reporting。在安装期间,指定托管升级后 EAS 的服务器的 DNS 名称或 IP 地址。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装 Identity Reporting

  6. (视情况而定)为新应用程序服务器 (Tomcat) 更新数据收集服务驱动程序配置。

  7. 安装 Reporting 后,在启动应用程序服务器之前,从 PostgreSQL 数据库删除 reportRunner 的参照。

    1. (视情况而定)停止 Tomcat。

    2. 在 Identity Reporting 根文件夹中,重命名 reportContent 文件夹。例如:/opt/netiq/idm/apps/IdentityReporting

    3. 在 Tomcat 根文件夹中,清理 tempwork 目录。

    4. 在 EAS 中,登录 PostgreSQL 数据库,并发出以下语句来删除 reportRunner 的参照:

      • DELETE FROM idm_rpt_cfg.idmrpt_rpt_params WHERE rpt_def_id='com.novell.content.reportRunner';

      • DELETE FROM idm_rpt_cfg.idmrpt_definition WHERE def_id='com.novell.content.reportRunner';

    5. 启动 Tomcat。

  1. 启动驱动程序

启动与 Identity Reporting 和 Identity Manager 引擎关联的驱动程序。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的启动驱动程序

  1. (视情况而定)恢复自定义设置

(视情况而定)如果您有自定义的策略和规则,请恢复自定义设置。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的将自定义策略和规则恢复到驱动程序

  1. (视情况而定)升级 Sentinel

(视情况而定)如果您在使用 NetIQ Sentinel,请确保运行的是最新的服务包。有关升级 Sentinel 的更多信息,请参见《NetIQ Sentinel 安装和配置指南》。

4.2 将 Identity Manager 4.5 Standard Edition 升级到 Identity Manager 4.5 Advanced Edition

将 Identity Manager 4.5 Standard Edition 升级到 Identity Manager 4.5 Advanced Edition 涉及 Identity Manager 组件的配置更改。您无需运行 Identity Manager 安装程序便可进行此升级。

Identity Manager 4.5 Advanced Edition 包括 Standard Edition 中具有的所有功能,以及 Identity Applications 之类的其他功能。《Identity Manager 4.5 Advanced Edition 发行说明》中的“新功能”小节简要概述了 Identity Manager 4.5 Advanced Edition 中的新功能。您可能需要花几分钟时间查看该小节。

要执行升级,NetIQ 建议您按指定的顺序完成下面的核对清单中的步骤:

任务

描述

  1. 查看升级与迁移之间的区别

查看升级与迁移之间的区别。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的了解升级和迁移

  1. 升级到 Identity Manager 4.5 Standard Edition

您不能从低于 4.0.2 的版本升级或迁移到 4.5 版。有关详细信息,请参见《NetIQ Identity Manager Setup Guide 4.0.2》(NetIQ Identity Manager 4.0.2 安装指南)。

  1. 取得升级/迁移所需的文件

确保您已拥有用于将 Identity Manager 升级到 4.5 Advanced Edition 的最新安装套件。

  1. 了解 Identity Manager 各组件之间的交互

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的简介

  1. 系统要求

确保您的计算机符合较新版 Identity Manager 的硬件和软件先决条件。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装的注意事项和先决条件,以及升级的目标版本的《发行说明》。

  1. 停止安装了 Identity Reporting 的应用程序服务器

在此案例中,应用程序服务器为 Tomcat。

  1. 卸装 Identity Reporting

从应用程序服务器中卸装 Identity Reporting WAR 文件。为此,请按照应用程序服务器特定的文档中的指导操作。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的卸装 Identity Reporting

  1. 应用 Identity Manager 4.5 Advanced Edition 激活密钥

在 iManager 中,请务必应用 Identity Manager 4.5 Advanced Edition 激活密钥。否则,Identity Manager 引擎升级将无法继续。

重要说明:为确保 Identity Manager 在升级后显示正确的版本和品牌名称,请应用从 NetIQ 下载网站取得的 Identity Manager 4.5 Patch 2。有关下载并应用该增补程序的详细信息,请参见《NetIQ Identity Manager 安装指南》中的应用 Identity Manager 4.5 增补程序

  1. 创建并部署 User Application、Roles and Resource Service 以及受管系统网关驱动程序

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的创建和部署 Identity Applications 的驱动程序

  1. (视情况而定)安装应用程序服务器

安装 WebSphere 或 JBoss 作为应用程序服务器。如果您要使用 Tomcat 作为应用程序服务器,则可以重复利用现有的 Tomcat 实例。

  1. 安装并配置 Identity Applications

注:升级过程不会去除 eDirectory 中已指派给用户的现有角色。如果升级后的软件中仍然存在报告管理员用户角色,为了安全起见,请务必删除此角色。

安装程序将会安装下列组件:

  • Catalog Administrator

  • Home and Provisioning Dashboard

  • Roles Based Provisioning Module (RBPM)

有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装 Identity Applications

  1. 启动应用程序服务器

如果您的应用程序服务器不是 Tomcat,请启动您的应用程序服务器(WebSphere 或 JBoss)和 Tomcat。您需要运行 Tomcat,因为 NetIQ 只支持在 Tomcat 上安装 OSP。

  1. 更新数据收集服务驱动程序配置

(视情况而定)为新应用程序服务器更新数据收集服务驱动程序配置。

更新数据收集服务驱动程序配置,以注册受管系统网关驱动程序。有关详细信息,请参见部分 4.3, 更新数据收集服务驱动程序的配置信息

  1. 安装并配置 Identity Reporting

在安装期间,提供现有 EAS 服务器的细节。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的安装 Reporting Module

要在 EAS 服务器中记录 Identity Reporting 事件,请执行下列操作:

  1. 停止应用程序服务器。

    例如 /etc/init.d/idmapps_tomcat_init stop

  2. 运行以下命令来停止审计线程: 

    ps -eaf | grep naudit

  3. 赋予 Reporting 使用审计功能的能力。

    1. (可选)将 ConfigUpdate 实用程序更新为以 GUI 模式运行。

    2. 起动 ConfigUpdate 实用程序并选择报告选项卡。

    3. 选中启用审计到 EAS 复选框。如果该复选框已被选中,请取消选中,然后单击确定

    4. 再次起动 ConfigUpdate 实用程序,并选择报告选项卡。

    5. 选择启用审计到 EAS 复选框,然后单击确定

  4. 启动应用程序服务器。

    例如 /etc/init.d/idmapps_tomcat_init start

  1. 启动驱动程序

启动与 Identity Reporting 和 Identity Manager 引擎关联的驱动程序。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的启动驱动程序

  1. (视情况而定)恢复自定义设置

(视情况而定)如果您有自定义的策略和规则,请恢复自定义设置。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的将自定义策略和规则恢复到驱动程序

  1. (视情况而定)升级 Sentinel

(视情况而定)如果您在使用 NetIQ Sentinel,请确保运行的是最新的服务包。有关升级 Sentinel 的更多信息,请参见《NetIQ Sentinel 安装和配置指南》。

4.3 更新数据收集服务驱动程序的配置信息

  1. 启动 Designer,然后转到 DCS 驱动程序配置 > 驱动程序参数 > 驱动程序选项

  2. 在 Managed System Gateway 注册部分,如下更改设置:

  3. 保存设置,然后部署 DCS 驱动程序。

  4. 重启动 DCS 驱动程序。

    升级 Identity Reporting 后可能不会立即显示 Advanced Version。在处理完下一批事件后,会发生版本更改。

5.0 卸装 Identity Manager 4.5 Standard Edition

卸装某些 Identity Manager 组件需要满足一些先决条件。在开始执行卸装过程之前,请务必查看每个组件的相关完整章节。有关详细信息,请参见《NetIQ Identity Manager 安装指南》中的卸装 Identity Manager 组件