NetIQ 建议您在开始执行安装过程之前,先查看 Identity Applications 的先决条件和计算机要求。有关配置 User Application 环境的详细信息,请参见《User Application: Administration Guide》(User Application:管理指南)。
在安装 Identity Applications 时,请注意以下事项。
需要以下 Identity Manager 组件的受支持版本:
Designer
身份库
Identity Manager 引擎
Remote Loader
一个 SSO 提供程序
有关这些组件的所需版本和增补程序的详细信息,请参见最新的《发行说明》。
在安装 Identity Applications 之前,请安装以下框架项目:
在本地计算机上安装一个应用程序服务器。有关详细信息,请参见部分 29.3.3, 应用程序服务器的先决条件和注意事项。
在本地计算机或连接的服务器上安装一个数据库。有关详细信息,请参见部分 29.3.5, 安装 Identity Applications 数据库的先决条件。
(视情况而定)在 SUSE Linux Enterprise Server (SLES) 上安装 Identity Applications 时,请不要使用 SLES 随附的 IBM JDK。此版本在某些方面与 User Application 安装不兼容。您应该下载 Oracle JDK。
(可选)NetIQ 建议为 Identity Manager 组件之间的通讯启用安全套接字层 (SSL) 协议。要使用 SSL 协议,必须在您的环境中启用 SSL,并在安装期间指定 https。有关启用 SSL 的信息,请参见《User Application: Administration Guide》(User Application:管理指南)中的“Enabling SSL in a Production Environment”(在生产环境中启用 SSL)。
在创建角色和资源驱动程序之前创建 User Application 驱动程序。角色和资源驱动程序会参照 User Application 驱动程序中的角色库容器 (RoleConfig.AppConfig)。
您不能将 Role and Resource Service 驱动程序与 Remote Loader 配合使用,因为该驱动程序使用 jClient。
将 JAVA_HOME 环境变量设置为指向您想要与 Identity Applications 配合使用的 JDK。要覆盖 JAVA_HOME,请在安装期间手动指定路径。
默认情况下,安装过程会将程序文件放置在 C:\NetIQ\IDM 或 /opt/netiq/idm 目录中。如果您计划将 User Application 安装在非默认位置,请在开始执行安装过程之前,确保新目录符合以下要求:
目录存在并且可写入。
对于 Linux 环境,非 root 用户可以写入该目录。
每个 User Application 实例只能为一个用户容器提供服务。例如,您只能在与该实例关联的容器中添加用户、执行搜索和查询。此外,用户容器与应用程序之间的关联是永久性的。
(视情况而定)如果您计划使用外部口令管理,您的环境必须符合以下要求:
为要部署 Identity Applications 和 IDMPwdMgt.war 文件的应用程序服务器启用安全套接字层 (SSL) 协议。
确保防火墙上打开了 SSL 端口。
有关为 Tomcat 启用 SSL 的详细信息,请参见 SSL Configuration HOW-TO(SSL 配置操作说明)。有关为 JBoss 和 WebSphere 启用 SSL 的详细信息,请参见该产品的文档。
有关 IDMPwdMgt.war 文件的详细信息,请参见部分 35.6, 配置忘记口令管理。
(可选)要从受管系统检索授权,请安装一个或多个 Identity Manager 驱动程序。
必须使用 Identity Manager 3.6.1、4.0 或更高版本所支持的驱动程序。有关安装驱动程序的详细信息,请参见 NetIQ Identity Manager 驱动程序文档网站中的相应驱动程序指南。
要管理驱动程序,必须先安装 Designer 或适用的 iManager 插件。有关详细信息,请参见部分 20.3, 了解 iManager 插件的安装。
在配置和初次使用 Identity Applications 时,请注意以下事项。
只有在您完成以下活动之后,用户才能访问 Identity Applications:
确保已安装所有必要的 Identity Manager 驱动程序。
确保身份库的索引处于联机模式。有关在安装期间配置索引的详细信息,请参见部分 36.2.9, 杂项。
在所有浏览器上启用 Cookie。如果禁用了 Cookie,应用程序将不起作用。
在 Identity Manager 环境中启用 SSO 后,用户将不再能够以 guest 或匿名用户身份访问 Identity Applications。系统将提示用户登录到用户界面。有关详细信息,请参见部分 XIII, 在 Identity Manager 中配置单点登录访问。
为确保 Identity Manager 强制实施通用口令功能,请将身份库配置为在用户首次登录时使用“NMAS 登录”。
Linux:将以下命令添加到 /opt/novell/eDirectory/sbin/pre_ndsd_start 脚本的末尾:
NDSD_TRY_NMASLOGIN_FIRST=true export NDSD_TRY_NMASLOGIN_FIRST
Windows:将带有字符串值 true 的 NDSD_TRY_NMASLOGIN_FIRST 添加到 HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\Environment 注册表项。
(视情况而定)要运行报告,必须在环境中安装 Identity Reporting 的组件。有关详细信息,请参见部分 XI, 安装 Identity Reporting 组件。
在安装过程中,安装程序会将日志文件写入安装目录。这些文件包含有关您的配置的信息。配置 Identity Applications 环境后,应考虑删除这些日志文件或将其储存在安全位置。在安装过程中,可以选择将数据库纲要写入到文件。由于此文件包含有关数据库的描述性信息,因此在安装过程完成后应将文件移至安全位置。
(视情况而定)要审计 Identity Applications,必须在环境中安装 Identity Reporting 和 Event Auditing Service (EAS),并配置为捕获事件。此外,还必须配置 Identity Applications,以便能够进行审计。有关更多信息,请参见《Identity Reporting Module Guide》(Identity Reporting Module 指南)。
(可选)您可以将 Identity Applications 配置为使用 SAML 2.0 鉴定来与 NetIQ Access Manager 4.0 配合工作。有关详细信息,请参见部分 46.0, 对 NetIQ Access Manager 使用 SAML 鉴定进行单点登录。
Identity Applications 要求安装应用程序服务器,同时请注意以下事项:
必须在安装 Java 开发包 (JDK) 或 Java 运行时环境 (JRE) 的情况下运行应用程序服务器。有关支持的版本的详细信息,请参见部分 29.4, Identity Applications 的系统要求。
将 JAVA_HOME 环境变量设置为指向您打算与 User Application 配合使用的 JDK。要覆盖 JAVA_HOME,请在安装期间手动指定路径。
(视情况而定)您可以使用自己的 Tomcat 安装程序,而不使用 Identity Manager 安装套件中提供的安装程序。但是,要将 Apache Log4j 服务与您的 Tomcat 版本配合使用,请确保安装了相应的文件。有关详细信息,请参见部分 27.6, 使用 Apache Log4j 服务来记录登录事件和口令事件。
(视情况而定)如果您计划安装多个部署有 Identity Applications 的应用程序服务器,则除非您在同一 JBoss 群集的平级节点上安装 User Application,否则必须为每个部署单独安装一个 User Application 驱动程序。有关详细信息,请参见部分 29.3.4, 在群集环境中安装 Identity Applications 的先决条件。有个配置群集环境的详细信息,请参见部分 32.0, 为 Identity Applications 准备环境。
(视情况而定)要保留经过数字签名的文档,必须在 JBoss 或 Tomcat 应用程序服务器上安装 Identity Applications 并使用 Novell Identity Audit。数字签名文档不是随工作流程数据储存在 User Application 数据库中,而是储存在日志记录数据库中。此外,还必须启用日志记录才能保留这些文档。有关详细信息,请参见《User Application: Administration Guide》(User Application:管理指南)中的“Setting Up Logging”(设置日志记录)一节。
(视情况而定)在要记录大量用户数据或您的目录服务器包含大量对象的环境中,您可能需要使用多个部署有 Identity Applications 的应用程序服务器。有关最佳性能配置的详细信息,请参见《User Application: Administration Guide》(User Application:管理指南)中的“Performance Tuning”(性能优化)一节。
(视情况而定)如果您使用 JBoss 或 Tomcat 应用程序服务器,请在完成安装过程之后再启动该服务器。
(视情况而定)要使用外部口令管理,必须执行以下操作来启用安全套接字层 (SSL) 协议:
为要部署 Identity Applications 和 IDMPwdMgt.war 文件的应用程序服务器启用 SSL。
确保防火墙上打开了 SSL 端口。
有关为 Tomcat 启用 SSL 的详细信息,请参见 SSL Configuration HOW-TO(SSL 配置操作说明)。有关为 JBoss 和 WebSphere 启用 SSL 的详细信息,请参见该产品的文档。
有关 IDMPwdMgt.war 文件的详细信息,请参见部分 35.6, 配置忘记口令管理和《User Application Administration Guide》(User Application 管理指南)。
Identity Applications 安装过程会根据您要使用的应用程序服务器,修改 setenv.sh 文件中 JRE 映射的某些项:
Tomcat:JAVA_OPTs 或 CATALINA_OPTS
JBoss:JAVA_HOME 或 JRE_HOME
该过程不会修改 Tomcat 服务器上的 JAVA_HOME 或 JRE_HOME 项。默认情况下,Tomcat 的便捷安装程序会将 setenv.sh 文件放置在 /opt/netiq/idm/apps/tomcat/bin/ 目录中。安装还会在该文件中配置 JRE 位置。
您可以在 JBoss、Tomcat 和 WebSphere 群集支持的环境中安装 Identity Applications 的数据库,不过需要注意以下事项:
群集必须具有唯一的群集分区名称、多路广播地址和多路广播端口。使用唯一的标识符可以区分多个群集,防止出现性能问题和异常行为。
对于群集的每个成员,必须为 Identity Applications 数据库的侦听端口指定相同的端口号。
对于群集的每个成员,必须为托管 Identity Applications 数据库的服务器指定相同的主机名或 IP 地址。
必须同步群集中服务器的时钟。如果服务器时钟不同步,会话可能会提前超时,导致 HTTP 会话故障转移无法正常工作。
NetIQ 建议不要在同一个主机上的浏览器选项卡或浏览器会话之间使用多个登录。某些浏览器在选项卡和进程之间共享 Cookie,因此,允许多个登录可能会导致 HTTP 会话故障转移出现问题(此外,如果多个用户共享一台计算机,还可能会给鉴定功能带来意外的风险)。
(视情况而定)对于 JBoss 群集,请使用相同的分区名称和分区 UDP 组启动每个服务器。群集中的每个服务器应使用唯一的引擎 ID。此外,JBoss 群集中的所有节点还必须访问同一数据库实例。有关配置 JBoss 系统属性的详细信息,请参见部分 32.3, 准备 User Application 的群集。
有关在群集环境中配置 Identity Applications 的详细信息,请参见部分 32.0, 为 Identity Applications 准备环境和《User Application: Administration Guide》(User Application:管理指南)中的“Clustering”(群集)一节。
该数据库储存 Identity Applications 数据和配置信息。
在安装数据库实例之前,请先查看以下先决条件:
要配置用于应用程序服务器的数据库,必须创建一个 JDBC 驱动程序。Identity Applications 使用标准 JDBC 调用来访问并更新该数据库。Identity Applications 使用绑定到 JNDI 树的 JDBC 数据源文件开启与数据库的连接。
必须有一个指向该数据库的现有数据源文件。您可能需要根据您的安装环境创建或配置该文件:
JBoss:User Applications 安装程序将创建名为 IDM-ds.xml 的应用程序服务器数据源文件,该文件会指向数据库。安装程序会将此文件放置在部署目录中。例如:server/IDMProv/deploy。安装程序还会将安装期间指定的数据库的适用 JDBC 驱动程序放置在 lib 目录中。例如:/server/IDMProv/lib。
JBoss 群集中的所有节点必须访问同一数据库实例。当您使用 User Application 安装程序时,它会提示您指定数据库名称、主机和端口。
WebSphere:您必须在执行安装之前手动配置数据源。有关详细信息,请参见在 WebSphere 上配置 Identity Applications 数据库的数据源。
确保具备以下信息:
数据库服务器的主机和端口。
要创建的数据库的名称。Identity Applications 的默认数据库为 idmuserappdb。
数据库用户名和口令。数据库用户名必须代表某个管理员帐户,或者必须具有在数据库服务器中创建表的足够许可权限。User Application 的默认管理员是 idmadmin。
数据库供应商为您所使用的数据库提供的驱动程序 .jar 文件。NetIQ 不支持第三方供应商提供的驱动程序 JAR 文件。
数据库实例可以位于本地计算机上,也可以位于连接的服务器上。
数据库字符集必须使用 Unicode 编码。例如,UTF-8 就是一种使用 Unicode 编码的字符集,而 Latin1 则不使用 Unicode 编码。有关指定字符集的详细信息,请参见部分 31.3.1, 配置字符集或部分 31.1, 配置 Oracle 数据库。
为了避免在迁移期间发生重复键错误,请使用区分大小写的排序规则。如果发生重复键错误,请检查排序规则并更正它,然后重安装 Identity Applications。
(视情况而定)要为审计目的及 Identity Applications 使用相同的数据库实例,NetIQ 建议在一个独立的专用服务器(而非托管运行 Identity Applications 的应用程序服务器的服务器)上安装该数据库。
(视情况而定)如果正要迁移到新版 Identity Applications,必须使用之前安装所用的同一个数据库。
数据库群集属于各相关数据库服务器的功能。NetIQ 不提供对任何群集数据库配置的官方测试,因为群集与产品功能不相关。因此,我们在支持群集数据库服务器的同时,作出以下声明:
您可能需要禁用群集数据库服务器的某些功能或方面。例如,由于在尝试插入重复键时存在约束违规,所以必须对某些表禁用事务复制。
我们对于群集数据库服务器的安装、配置或优化不提供任何协助,包括将我们的产品安装到群集数据库服务器中。
我们会尽最大努力来解决在群集数据库环境中使用我们的产品时可能出现的任何问题。在复杂环境中采用的查错方法通常需要双方合作才能解决问题。NetIQ 提供了专业知识,便于您对 NetIQ 产品进行分析、规划及查错。客户必须具有对任何第三方产品进行分析、规划及查错的专业知识。我们将要求客户在非群集环境中再现问题或分析其组件的行为,以帮助从 NetIQ 产品问题中分离出潜在的群集设置问题。