28.1 使用向导安装单点登录和口令管理组件

以下过程描述如何通过 GUI 或控制台,使用安装向导在 Linux 或 Windows 平台上安装 OSP 和 SSPR。要执行无提示或无人照管安装,请参见部分 28.2, 以无提示模式安装单点登录和口令管理组件。要准备安装,请查看部分 27.1, 单点登录和口令管理组件安装核对清单中列出的先决条件和系统要求。

  1. root 或管理员身份登录到要安装 OSP 的服务器。

  2. 停止应用程序服务器(例如 Tomcat)。

  3. (视情况而定)如果您已获取 Identity Manager 安装包的 .iso 映像文件,请浏览到包含 OSP 安装文件的目录(默认为 products/rbpm/osp_sspr_install 目录)。

  4. (视情况而定)如果您已下载 OSP 安装文件,请完成以下步骤:

    1. 浏览到所下载映像的 .tgzwin.zip 文件。

    2. 将该文件的内容解压缩到本地计算机上的某个目录中。

  5. 从包含安装文件的目录完成以下操作之一:

    • Linux(控制台):输入 ./osp-sspr-install.bin -i console

    • Linux (GUI):输入 ./osp-sspr-install.bin

    • Windows:运行 osp-sspr-install.exe

  6. 接受许可协议,然后单击下一步

  7. 指定要安装 OSP、SSPR 还是两者。

  8. 指定安装文件的路径。

  9. 使用以下参数完成引导式过程:

    • Tomcat 细节

      表示 Tomcat 服务器的用户主目录。例如:/opt/apache-tomcat-7.0.50。安装过程会将 OSP 的一些文件添加到此文件夹中。

    • Tomcat 连接

      表示用户连接 Tomcat 服务器上的 OSP 和 SSPR 时所需的 URL 的设置。例如:https:myserver.mycompany.com:8080

      注:如果存在以下注意事项,则您还必须选择连接外部鉴定服务器并指定外部服务器的值:

      • 您正在安装 SSPR。

      • OSP 与 SSPR 在不同的应用程序服务器实例上运行。

      协议

      指定是要使用 http 还是 https。要使用安全套接字层 (SSL) 进行通讯,请指定 https

      主机名

      指定要安装 OSP 或 SSPR 的服务器的 DNS 名称或 IP 地址。请不要使用 localhost

      端口

      指定您希望服务器在与客户端计算机通讯时所使用的端口。

      连接外部鉴定服务器

      指定是否要用不同的应用程序服务器实例来托管鉴定服务器 (OSP)。鉴定服务器包含可登录 SSPR 的用户的列表。

      如果选择此设置,则还要指定鉴定服务器的协议主机名端口值。

    • Tomcat Java 主目录

      表示 Java 在 Tomcat 服务器上的主目录。例如:/usr/lib/jvm/default-java。安装过程会将 OSP 的一些文件添加到此目录中。

    • 鉴定细节

      表示与包含可登录应用程序的用户列表的鉴定服务器连接时需要满足的要求。有关鉴定服务器的详细信息,请参见部分 4.5.1, 了解使用 One SSO Provider 进行鉴定的方法

      LDAP 主机

      指定 LDAP 鉴定服务器的 DNS 名称或 IP 地址。请不要使用 localhost

      LDAP 端口

      指定您希望 LDAP 鉴定服务器在与 Identity Manager 通讯时所使用的端口。例如,指定 389 作为非安全端口,或者为 SSL 连接指定 636

      使用 SSL

      指定是否要为身份库与鉴定服务器之间的连接使用安全套接字层协议。

      JRE 可信证书存储区 (cacerts) 文件

      仅当您要为 LDAP 连接使用 SSL 时才适用。

      指定证书的路径。例如:C:\netiq\idm\apps\jre\lib\security\cacerts

      JRE 可信证书存储区口令

      仅当您要为 LDAP 连接使用 SSL 时才适用。

      指定 cacerts 文件的口令。

      管理员 DN

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器管理员帐户的 DN。例如:cn=admin,ou=sa,o=system

      Admin 口令

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器管理员帐户的口令。

      用户容器

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器中要储存可登录 Access Review 的用户帐户的容器。例如:o=data

      管理员容器

      仅在安装新鉴定服务器时适用。

      指定 LDAP 鉴定服务器中要储存 Access Review 管理员帐户的容器。例如:ou=sa,o=system

      密钥存储区口令

      仅在安装新鉴定服务器时适用。

      指定要为 LDAP 鉴定服务器的新密钥存储区创建的口令。

      该口令必须至少包含六个字符。

    • 审计细节 (OSP)

      表示用于审计鉴定服务器中发生的 OSP 事件的设置。

      对 OSP 启用审计

      指定是否要将 OSP 事件发送到审计服务器。

      如果选择此设置,则还需指定审计日志超速缓存的位置。

      审计日志超速缓存文件夹

      仅当为 OSP 启用了审计时才适用。

      指定要用于审计的超速缓存目录的位置。例如:/var/opt/novell/naudit/jcache

      指定现有证书/生成证书

      指定是要使用 NAudit 服务器的现有证书,还是创建新的证书。

      输入公共密钥

      仅当您要使用现有证书时才适用。

      列出您希望 NAudit 服务用来鉴定审计讯息的自定义公共密钥证书。

      输入 RSA 密钥

      仅当您要使用现有证书时才适用。

      指定您希望 NAudit 服务用来鉴定审计讯息的自定义私用密钥文件的路径。

    • SSPR 细节

      表示配置 SSPR 所需的设置。

      配置口令

      指定要为管理员创建的、用于配置 SSPR 的口令。

      默认情况下,SSPR 没有配置口令。如果不指定口令,任何能够登录 SSPR 的用户都可以修改配置设置。

      SSPR 重定向 URL

      指定在 SSPR 中完成口令更改或询问问题等操作后,客户端要重定向到的绝对 URL。例如,定向到 Identity Manager 主页。

      使用以下格式:protocol://server:port/path。例如:http://127.0.0.1:8080/landing

    • 鉴定服务器细节

      表示您要创建的供 SSPR 服务在连接到服务器上的 OSP 客户端时使用的口令。该口令又称为客户端机密。

      要在安装后修改此口令,请使用 RBPM 配置实用程序。

    • 审计细节 (SSPR)

      表示用于审计鉴定服务器中发生的 SSPR 事件的设置。

      对 SSPR 启用审计

      指定是否要将 SSPR 事件发送到审计服务器。

      如果选择此设置,则还要指定系统日志服务器的设置。

      系统日志主机名

      仅当为 SSPR 启用了审计时才适用。

      指定托管系统日志服务器的服务器的 DNS 或 IP 地址。请不要使用 localhost

      系统日志端口

      仅当为 SSPR 启用了审计时才适用。

      指定托管系统日志服务器的服务器的端口。

  10. 要将 Identity Applications 和 Identity Reporting 配置为使用 SSPR 及 OSP,请继续部分 X, 安装 Identity Applications

    有关配置忘记口令管理的详细信息,请参见部分 35.6, 配置忘记口令管理