當 Identity Applications 在叢集中執行時,會因更高的可用性而受益良多。此外,它們還支援 HTTP 工作階段複製和工作階段容錯移轉。也就是說,如果正在執行一個工作階段的某個節點發生失敗,則無需使用者進行干預,該工作階段就能在叢集中的另一個伺服器上繼續。
本節提供關於準備環境 (包括叢集環境),以供 Identity Applications 正常執行的指示。必須結合節 15.5.2, 使用引導式程序安裝 Identity Applications 中的說明來完成本節中的步驟。
如需叢集環境要求的詳細資訊,請參閱節 15.1.3, 安裝 Identity Applications 的先決條件和考量 和節 15.1.4, Identity Applications 的系統要求。
當您安裝 Identity Applications 時,安裝程序將為 Tomcat 建立一個許可權索引。如果您未指定該索引的位置,安裝程式會在暫存目錄中建立一個資料夾。例如:Tomcat 上的 C:\NetIQ\idm\apps\tomcat\temp\permindex。
在測試環境中,該位置一般來說是無關緊要的。但是,在線上或預備環境中,您可能不想將許可權索引放在暫存目錄中。
若要指定索引的位置:
停止 Tomcat。
在文字編輯器中,開啟 ism-configuration.properties 檔案。
在該檔案的末尾新增以下文字:
com.netiq.idm.cis.indexdir = path\permindex
例如︰
com.netiq.idm.cis.indexdir = C:\NetIQ\idm\apps\tomcat\temp\permindex儲存然後關閉該檔案。
刪除暫存目錄中現有的 permindex 資料夾。
啟動 Tomcat。
本節提供為叢集啟用許可權索引的說明。
在叢集的第一個節點中登入 iManager,然後導覽至檢視物件。
在系統下,導覽至包含 使用者應用程式驅動程式的驅動程式集。
選取 AppConfig > AppDefs > 組態。
選取 XMLData 屬性,並將 com.netiq.idm.cis.clustered 內容設定為 true。
例如:
<property>
<key>com.netiq.idm.cis.clustered</key>
<value>true</value>
</property>
按一下「確定」。
您應準備好將要執行 Identity Applications 的 Tomcat。為方便起見,NetIQ 在安裝套件中提供了 Apache Tomcat。如需在叢集環境中使用應用程式的詳細資訊,另請參閱節 15.4.4, 為 Identity Applications 準備叢集。
Identity Manager 的 .iso 安裝檔案中包含一個用於安裝 Tomcat (或者 PostgreSQL) 的程式。如需詳細資訊,請參閱節 12.2, 安裝 PostgreSQL 和 Tomcat。
您可以使用自己的 Tomcat 安裝程式,而不使用安裝套件中提供的便捷安裝程式。但是,如果您要使用其他安裝程式,則必須執行一些額外的步驟才能使 Tomcat 配合 Identity Applications 正常運作。
在啟動安裝程序之前,請確保此 Identity Applications 版本支援您要安裝的元件版本。如需詳細資訊,請參閱節 15.1.3, 安裝 Identity Applications 的先決條件和考量。
將 Apache Tomcat 做為一項服務安裝在您的伺服器上。
如需詳細資訊,請參閱「Tomcat Setup」(Tomcat 安裝)。
在裝有 Tomcat 的同一個伺服器上安裝以下元件。
Java Runtime Environment (JRE): 如需詳細資訊,請參閱《Java Platform Installation Guide》(Java 平台安裝指南)。
Apache ActiveMQ: 如需詳細資訊,請參閱 ActiveMQ。
PostgreSQL: 如需詳細資訊,請參閱 PostgreSQL 手冊。
將 activemq-all-5.15.2 jar 檔案複製到 C:\NetIQ\idm\apps\activemq 資料夾。
將以下檔案複製到 C:\NetIQ\idm\apps\tomcat\bin 資料夾,以用於記錄。
log4j.jar
log4j.properties
tomcat-juli-adapters.jar
在 setenv.bat 檔案中設定以下內容。
JAVA_HOME JRE_HOME PATH (set Java path) JAVA_OPTS="-Xms1024m -Xmx1024m"
將 postgresql-9.4.1212jdbc42.jar 檔案複製到 C:\NetIQ\idm\apps\tomcat\bin 資料夾。
(視情況而定) 在叢集環境中,開啟叢集第一個節點上的 server.xml 檔案 (預設位於 \TOMCAT_INSTALLED_HOME\conf\ 目錄中),取消註解下面一行︰
<Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
對叢集中的所有節點執行此操作。
對於進階 Tomcat 叢集組態,請依照 Apache Tomcat 相關文件中的步驟操作。
Identity Applications 支援 HTTP 工作階段複製和工作階段容錯移轉。如果某個執行中的工作階段所在的節點發生故障,無需使用者介入,該工作階段便可在叢集中的另一部伺服器上繼續進行。在叢集中安裝 Identity Applications 前應先準備好環境。
使用者應用程式叢集群組使用 UUID 名稱,以最大程度地避免與使用者可能新增至伺服器的其他叢集群組發生衝突。您可以透過使用者應用程式管理功能來修改使用者應用程式叢集群組的組態設定。只有在重新啟動伺服器節點後,對叢集組態所做的變更才會在該節點上生效。
如需在叢集環境中安裝產品所需符合之先決條件的詳細資訊,請參閱節 15.1.3, 安裝 Identity Applications 的先決條件和考量。
在叢集中代管 Identity Applications 的每個伺服器都可以執行一個工作流程引擎。為確保叢集和工作流程引擎的效能,叢集中的每個伺服器都應使用相同的分割區名稱和分割區 UDP 群組。此外,叢集中的每個伺服器都必須使用唯一的工作流程引擎 ID 啟動,因為工作流程引擎的叢集化獨立於 Identity Applications 的快取架構運作。
為確保工作流程引擎正常執行,您必須設定 Tomcat 的系統內容。
對叢集中的每個 Identity Applications 伺服器建立一個新 JVM 系統內容。
將系統內容命名為 com.novell.afw.wf.引擎 ID,其中的引擎 ID 是一個唯一值。
Identity Applications 使用萬能金鑰來加密敏感性資料。叢集中的所有 Identity Applications 都必須使用相同的萬能金鑰。本節的內容可協助您確保叢集中的所有 Identity Applications 都使用相同的萬能金鑰。
如需建立萬能金鑰的詳細資訊,請參閱步驟 6 中的安全性 - 萬能金鑰。如需加密 Identity Applications 中敏感性資料的詳細資訊,請參閱《NetIQ Identity Manager - Administrator’s Guide to the Identity Applications》(NetIQ Identity Manager - Identity Applications 管理員指南) 中的「Encrypting Sensitive Identity Applications Data」(加密 Identity Applications 敏感性資料)。
在叢集中的第一個節點上安裝使用者應用程式。
在安裝程式的「安全性 - 萬能金鑰」視窗中,記下將要包含 Identity Applications 新萬能金鑰的 master-key.txt 檔案所在的位置。依預設,該檔案位於安裝目錄中。
在叢集中的其餘節點上安裝 Identity Applications。
在「安全性 - 萬能金鑰」視窗中,按一下是,然後按下一步。
在「輸入萬能金鑰」視窗中,複製在步驟 2 中建立之文字檔案中的萬能金鑰。