您可以依據自己的要求在私人或公用網路中部署 Identity Manager 元件。圖 14-1, AWS EC2 上的 Identity Manager 部署 演示了一個範例部署,後續章節中將用到該部署。
圖 14-1 AWS EC2 上的 Identity Manager 部署
您可以依據 Identity Manager 元件在不同伺服器上的分散方式,以不同的組合部署這些元件。不過,所有方案的部署程序都是相同的。
部署程序包括以下步驟:
本節介紹將 AWS VPC 設定為與 Identity Manager 配合使用的一般步驟。如需詳細資訊,請參閱 Amazon Elastic Compute Cloud 文件。
建立 AWS VPC 服務需要執行的步驟如下:
登入 AWS Management Console (AWS 管理主控台)。
按一下 Services (服務) 並建立以下服務:
服務 |
步驟 |
---|---|
VPC |
如需詳細資訊,請參閱 Amazon Virtual Private Cloud 文件。 |
重要:使用 Start VPC Wizard (啟動 VPC 精靈) 建立 VPC 會建立該 VPC 的子網路、網際網路閘道和路由表。您可以依如下所述檢視或編輯這些項目: |
|
次網路 |
若要依圖 14-1 中所示部署 Identity Manager 元件,請在 VPC 中建立三個子網路。例如 privateSN、publicSN1 和 publicSN2。 建立子網路需要執行的步驟如下。
重複上述步驟以建立更多子網路。 |
網際網路閘道 |
|
路由表 |
|
(選擇性) 代管的區域 |
如果您已註冊網域,可以執行以下動作以使用該網域來代管 Identity Manager 元件:
|
彈性 IP 位址 |
|
本節介紹建立和部署 Identity Manager 基本設定 (包含 Identity Manager 引擎、iManager、Identity Applications、Reporting、使用者應用程式資料庫和 Reporting 資料庫) 例項的步驟。
建立 Identity Manager 元件例項需要執行的步驟如下。
按一下 Services (服務) > EC2。
按一下 Launch Instance (啟動例項)。
選取 SLES 12 SPx 或 RHEL 7.x 影像。
選取符合基礎作業系統及 Identity Manager 元件部署要求的例項類型。請參閱系統要求。
按一下 Next: Configure Instance Details (下一步:設定例項詳細資料)。
確定該例項使用的是正確的 VPC 和子網路。此頁面中會自動填入子網路設定。
欄位 |
動作 |
---|---|
Auto-assign Public IP (自動指定公用 IP) |
對於公用子網路,請設定為 Enable (啟用)。使用此設定會自動填入子網路設定。對於私人子網路,請將值設定為 Disable (停用)。 |
按一下 Next: Add Storage (下一步:新增儲存)。
預設儲存大小為 10 GB。請依據您的要求變更儲存大小。請參閱系統要求。
按一下 Next: Add Tags (下一步:新增標記)。
請視需要新增標記。使用標記可以組織例項。例如,可將以下兩個標記新增至每個例項:
一個標記指示該例項的用途
一個標記指示此機器的擁有者
按一下 Next: Configure Security Group (下一步:設定安全性群組)。
安全性群組是例項群組的虛擬防火牆規則。建議對防火牆要求相同的每組例項單獨建立一個安全性群組。
例如,您可對 Identity Manager 引擎的所有節點、Identity Applications 的所有節點以及 Identity Reporting 的所有節點分別設定一個安全性群組。依預設,新安全性群組僅允許連接埠 22 上的內送流量,因此,您只能使用 SSH 連接至例項。
如需詳細資訊,請參閱「Amazon EC2 Security Groups for Linux Instances」(Linux 例項的 Amazon EC2 安全性群組)。
建立新的安全性群組;指定該群組的名稱和描述。
在安裝以下 Identity Manager 元件之前,請新增額外的連接埠規則:
配件 |
埠 |
描述 |
---|---|---|
Identity Vault 的 LDAP |
TCP 636 |
需要使用它來進行 LDAP 安全通訊。 |
iManager |
TCP 8443 |
需要使用它來進行 HTTPS 通訊,以便存取 iManager。 |
Identity Applications |
TCP 8543 |
需要使用它來進行 HTTPS 通訊,以便存取 Identity Applications。 |
Identity Reporting |
TCP 8643 |
需要使用它來進行 HTTPS 通訊,以便存取 Identity Reporting。 |
PostgreSQL 資料庫 |
TCP 5432 |
需要使用它來進行安全資料庫通訊,以便存取 PostgreSQL。 |
按一下 Review and Launch (查看並啟動)。
查看詳細資料後,按一下 Launch (啟動)。
選取現有的金鑰組或建立新的金鑰組。
此金鑰組用於透過 SSH 存取例項。您可在多部機器上使用相同金鑰組。
按一下 Download Key Pair (下載金鑰組)。
重要:您只能使用私密金鑰來連接和管理例項。因此,在下載金鑰組後,請勿遺失私密金鑰。
連接啟始化例項時建立的彈性 IP 位址。
啟動某個例項,並驗證軟體儲存庫。若要驗證設定的軟體儲存庫,請執行以下操作:
使用金鑰組登入某個例項。
切換至 root 使用者。
驗證您的作業系統中是否存在以下更新:
SLES 上的 SLES12-SP3-Pool 和 SLES12-SP3-Updates: 若要進行驗證,請執行 zypper lr –n 指令。
RHEL 上的 rhui-REGION-rhel-server-releases/7Server/x86_64: 若要進行驗證,請執行 yum repolist 指令。
附註:如果您的作業系統中沒有儲存庫,請驗證設定的彈性 IP 位址是否已連接至該例項,然後重新啟動該例項。
為作業系統安裝以下先決元件:
使用 zypper 指令安裝 glibc-32bit 程式庫。
使用 yum install 指令安裝以下先決元件:
解除壓縮
ksh
bc
glibc-*.i686
libXau-1.0.8-2.1.el7.i686
libxcb.i686
libX11.i686
libXtst.i686
libXrender.i686
libgcc.i686
lsof
對於 Identity Manager 引擎,您可以編輯 prerequisite.sh 程序檔,移除其中包含的 compat-libstdc++-33.x86_64。Identity Manager 安裝不再需要此套件。
設定 /etc/hosts 和 hostname:
使用例項的私人 IP 位址在防火牆中保護 Identity Manager 伺服器。
為例項指定 DNS 名稱並更新 hosts 檔案。
例如:
# 10.0.0.1 identityEngine.example.com identityEngine
設定主機名稱和網域名稱。
yast lan
hostnamectl set-hostname idmengine.example.com
(視情況而定) 建立加密的彈性區塊儲存 (EBS) 磁碟區,以加密雲端的資料。
按一下 Services > EC2 (服務 > EC2)。
在 Elastic Block Store (彈性區塊儲存) 中,選取 Volumes (磁碟區) 並按一下 Create Volume (建立磁碟區)。
指定所需的磁碟區大小。
選取 Encrypt this volume (加密此磁碟區) 並按一下 Create Volume (建立磁碟區)。
在清單中選取新建立的磁碟區。
在 Actions (動作) 中按一下 Attach Volume (連接磁碟區),以將該磁碟區連接至 EC2 例項。
對每個例項重複上述步驟。
如需 EBS 的詳細資訊,請參閱「Amazon EBS」。
使用作業系統工具格式化該磁碟區並掛接分割區:
執行 yast disk 指令格式化該磁碟區。
執行 mkfs 進行格式化,並新增至 /etc/fstab。如需詳細資訊,請參閱《Red Hat Enterprise Linux Deployment Guide》(Red Hat Enterprise Linux 部署指南)。
附註:
掛接 Identity Manager 引擎資料分割區。資料分割區預設為 /var/opt/novell/。
在 /opt/netiq/ 中掛接其他 Identity Manager 元件。
在所有例項上的 /etc/hosts 檔案中,更新所有機器的 DNS 或 IP 位址。
在安裝 Identity Manager 元件之前,請執行以下步驟:
在要安裝 Identity Manager 元件的例項上下載 Identity_Manager_4.8_Linux.iso。
掛接下載的 .iso 檔案。
(視情況而定) 建立 Identity Applications 和 Identity Reporting 的資料庫。如需詳細資訊,請參閱 安裝 Identity Applications 和 Identity Reporting 的資料庫。
從 .iso 檔案的根目錄中執行 ./install.sh 指令。
通讀授權合約,然後輸入 y 以接受授權合約。
選取自訂安裝選項,然後選取要在例項上安裝的元件。設定該元件。如需詳細資訊,請參閱表 5-2, 自訂組態。
在 Identity Reporting 和 Identity Applications 上執行 configupdate.sh 以設定所有用戶端。
如果您要在外部伺服器上安裝 Identity Applications 和 Identity Reporting 的 PostgreSQL 資料庫,應在安裝前執行以下步驟:
導覽至掛接 Identity_Manager_4.8_Linux.iso 的位置。
找到 /common/packages/postgres/ 目錄並安裝 PostgreSQL。
rpm -ivh netiq-postgresql-9.6.6-0.noarch.rpm
執行以下指令以將群組關聯到 postgres 使用者:
/usr/sbin/usermod -a -G postgres postgres
在 /etc/passwd 檔案中,將 postgres 使用者的主目錄路徑變更為 /opt/netiq/idm/postgres/。
導覽至 /etc/ 目錄。
編輯 passwd 檔案。
vi /etc/passwd
將 postgres 使用者的主目錄變更為 /opt/netiq/idm/postgres/。
以 postgres 使用者身分登入。
例如:
su - postgres
在 PostgreSQL 安裝位置中建立 data 目錄。
mkdir -p <POSTGRES_HOME>/data, where <POSTGRES_HOME> is /opt/netiq/idm/postgres
例如:
mkdir -p /opt/netiq/idm/postgres/data
輸出 PostgreSQL home 目錄
export PGHOME=<postgres home directory path>
例如:
export PG_HOME=/opt/netiq/idm/postgres
輸出 PostgreSQL 密碼:
export PGPASSWORD=<輸入資料庫密碼>
啟始化資料庫。
"LANG=en_US.UTF-8 <POSTGRES 主目錄>/bin/initdb -D <POSTGRES 主目錄>/data"
例如:
"LANG=en_US.UTF-8 /opt/netiq/idm/postgres/bin/initdb -D /opt/netiq/idm/postgres/data"
在 /opt/netiq/idm/postgres/ 目錄中建立以下元件的資料庫。
$ createdb idmuserappdb $ psql -s idmuserappdb # create user idmadmin password 'somepassword'; # GRANT ALL PRIVILEGES ON DATABASE idmuserappdb TO idmadmin; # ALTER DATABASE idmuserappdb OWNER TO idmadmin;
$ createdb idmrptdb
以 postgres 使用者身分登出。
修改 postgresql.conf 檔案,以允許 PostgreSQL 例項監聽除 localhost 以外的網路例項。
導覽至 /opt/netiq/idm/postgres/data/ 目錄。
編輯 postgresql.conf 檔案:
vi postgresql.conf
在檔案中新增下一行:
listen_addresses = '*'
在 <postgres home directory path>/data 下建立 pg_log 目錄。
例如:
mkdir -p /opt/netiq/idm/postgres/data/pg_log
變更 pg_log 目錄的許可權。
chown -R postgres:postgres <postgres directory path>/data/pg_log
例如:
chown -R postgres:postgres /opt/netiq/idm/postgres/data/pg_log
啟動 PostgreSQL 服務。
systemctl start netiq-postgresql
此指令將啟動新的 PostgreSQL 服務。
若要使用 Designer,必須在 Windows 機器上安裝 Designer。
在公用子網路中,啟動支援的 Windows 例項。
對於 Windows 安全性群組,請僅使用 rdesktop 連接埠。例如 3389。
在 Windows 例項上安裝 Designer。如需詳細資訊,請參閱《NetIQ Identity Manager 安裝指南 - Windows》中的「安裝 Designer」。
您可以建立負載平衡器以在各 Identity Manager 元件之間平衡內送申請的負載。負載平衡器可用於保護 Identity Manager 伺服器免遭公用存取。
以下程序說明了為範例部署方案設定負載平衡器所需的組態詳細資料:
負載平衡器使用此證書在各 Identity Manager 元件之間建立安全通訊。可透過三種方式為負載平衡器建立證書:
按一下 Services > Certificates Manager (服務 > Certificates Manager)。
按一下 Request Certificate (申請證書)。
指定要為其建立證書的 DNS 名稱。
驗證 DNS 機構。
按一下 Services > Certificates Manager (服務 > Certificates Manager)。
按一下 Import Certificate (輸入證書)。
指定證書詳細資料。
按一下 Services (服務)。
在 Security, Identity & Compliance (安全性、身分與合規) 中,按一下 IAM。
使用 IAM API 指定證書詳細資料。如需詳細資訊,請參閱「Uploading Server Certificate Using IAM API」(使用 IAM API 上傳伺服器證書)。
使用目標群組可將負載平衡器關聯至負載將分散到的各個例項 (目標) 的 IP 位址。
建立目標群組需要執行的步驟如下:
在 EC2 儀表板中,按一下 LOAD BALANCING (負載平衡) 下的 Target Groups (目標群組)。
按一下 Create target group (建立目標群組)。
指定以下詳細資料:
欄位 |
描述 |
---|---|
Target group name (目標群組名稱) |
指定目標群組的名稱。 您可以指定要設定此目標群組的元件的名稱。例如 Identity Applications、Identity Reporting 或 iManager。 |
Protocol (通訊協定) |
選取 HTTPS。 |
Port (連接埠) |
指定伺服器設定為要監聽的連接埠。 下面是不同 Identity Manager 元件使用的範例連接埠值:
|
Target type (目標類型) |
選取 Instance (例項)。 |
VPC |
選取您為 Identity Manager 元件例項所選的相同 VPC。 |
Health Check Settings (狀態檢查設定) |
|
Protocol (通訊協定) |
選取 HTTPS。 負載平衡器在執行狀態檢查時將使用此通訊協定。 |
Path (路徑) |
指定狀態檢查的目的地路徑。 要執行狀態檢查的 Identity Manager 元件的預設路徑如下:
|
Advanced health check settings (進階狀態檢查設定) |
保留預設值。 |
按一下 Create (建立)。
啟用工作階段粘性。
選取您建立的目標群組。
在 Description (描述) 索引標籤中,按一下 Edit attributes (編輯屬性)。
對 Stickiness (粘性) 選取 Enable (啟用)。
重複上述步驟為每個應用程式建立目標群組。
附註:如果將 SSPR 安裝在其他伺服器上,請為此元件單獨建立一個目標群組。
建立負載平衡器需要執行的步驟如下:
在左側功能表中,按一下 Load Balancers (負載平衡器)。
按一下 Create Load Balancers (建立負載平衡器)。
按一下 Application Load Balancer (應用程式負載平衡器) 下的 Create (建立)。
指定以下詳細資料:
欄位 |
描述 |
---|---|
Name (名稱) |
指定負載平衡器的名稱。 |
Scheme (配置) |
選取 internet-facing (網際網路對向)。 |
Listeners (監聽程式) |
若要新增更多監聽程式至負載平衡器,請按一下 Add Listener (新增監聽程式)。 依如下所述指定監聽程式連接埠: 對於 iManager:
對於 Identity Applications:
對於 Identity Reporting:
|
Availability Zones (可用性區域) |
|
Tags (標記) |
(選擇性) 您可以新增一個標記來識別您的負載平衡器。 |
按一下 Next: Configure Security Settings (下一步:組態安全性設定)。
指定證書詳細資料以使用 HTTPS 通訊協定。您以執行以下操作之一:
選取您在為負載平衡器建立證書以使用安全通訊 中建立的證書類型。
將證書上傳到 IAM 或 ACM - 指定證書詳細資料。
按一下 Next: Configure Security Groups (下一步:設定安全性群組)。
在 Assign a security group (指定安全性群組) 中,選取 Create a new security group (建立新的安全性群組)。
(選擇性) 指定負載平衡器的名稱和描述。
新增規則至安全性群組,以便將流量路由到設定的監聽程式:
欄位 |
描述 |
---|---|
Type (類型) |
選取 Custom TCP Rule (自訂 TCP 規則)。 |
Protocol (通訊協定) |
如此會顯示用於規則的通訊協定類型。 |
Port Range (連接埠範圍) |
選取 Identity Manager 元件的連接埠範圍:
|
Source (來源) |
選取 Anywhere (任意位置),以連接至部署了 Identity Manager 元件的例項。 |
按一下 Next: Configure Routing (下一步:設定路由)。
在 Target group (目標群組) 中指定以下詳細資料:
欄位 |
描述 |
---|---|
Target group (目標群組) |
選取 Existing target group (現有目標群組)。此清單顯示在建立目標群組 中為 Identity Manager 元件建立的目標群組。 |
Name (名稱) |
從該清單中選取一個目標群組。 在此處只能選取一個目標群組。例如,選取您為 Identity Applications 建立的目標群組。 建立負載平衡器後,您需要修改監聽程式連接埠 8443,以使用針對 HTTPS 通訊協定設定的目標群組。請參閱本節中的步驟 18。 |
通訊協定 |
系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。 |
Port (連接埠) |
系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。 |
Target type (目標類型) |
系統將填入您在指定的目標群組中設定的值。請查看列出的值以確定其正確無誤。 |
查看 Health Checks (狀態檢查) 下的以下詳細資料:
按一下 Next: Register Targets (下一步:註冊目標)。
在所選目標群組中註冊的所有目標都會列出。您只能在建立負載平衡器後修改此清單。
按一下 Next: Review (下一步:檢閱)。
驗證負載平衡器詳細資料是否正確。
依次按一下 Create (建立)、Close (關閉)。
(視情況而定) 如果您跳過為 Identity Manager 元件建立監聽程式連接埠的步驟,或者想要新增新的監聽程式連接埠,請更新監聽程式連接埠以使用相應的目標群組:
選取您建立的負載平衡器。
選取 Listeners (監聽程式) 索引標籤。
按一下 Add Listener (新增監聽程式),然後為每個監聽程式指定所需的詳細資料。詳情請參閱步驟 4。
選取用於負載平衡器的證書。詳情請參閱為負載平衡器建立證書以使用安全通訊。
按一下 Create (建立)。
如果在單獨的機器上設定 SSPR,您可能需要新增一個監聽程式。
重要:若要在分散式設定中使用單個負載平衡器,請單獨建立一條 DNS 別名記錄來區分該設定中的伺服器。否則,請為每個 Web 應用程式單獨建立一個負載平衡器。
如果您已註冊了某個網站,可以使用它為每個 Identity Manager 元件建立個別記錄集。
按一下 Services > Route 53 (服務 > Route 53)。
在左側功能表中按一下 Hosted Zones (代管的區域),然後選取設定 AWS EC2 服務時建立的代管區域。請參閱準備 AWS Virtual Private Cloud。
按一下 Go to Record Sets (移至記錄集)。
按一下 Create Record Set (建立記錄集):
欄位 |
描述 |
---|---|
Name (名稱) |
為記錄集指定有意義的名稱。 例如:將 Identity Applications 記錄集命名為 rbpm。 |
Type (類型) |
選取 A – IPv4 address (A – IPv4 位址)。 |
Alias (別名) |
選取 Yes (是)。 |
Alias Target (別名目標) |
選取設定為連接 Identity Manager 元件的負載平衡器 |
Routing Policy (路由規則) |
選取 Simple (簡單) |
按一下 Create (建立)。
在 Identity Applications、Identity Reporting 和 OSP 例項上執行 configupdate.sh,並使用公用 DNS 名稱更新 SSO 組態。
重新啟動 Tomcat。
透過使用公用 DNS 存取應用程式來驗證組態。
https://<公用 DNS 名稱>:<連接埠>/<應用程式網路位置名稱>
您可以使用負載平衡器的公用 DNS 名稱或透過別名 DNS 記錄集來存取 Identity Manager 例項。若要使 Identity Manager 例項能夠互相通訊,請編輯每個例項上的 /etc/hosts 檔案,並新增一個項目,以將此例項的主機名稱解析為其私人 IP 位址。
更新以下例項以在內部存取其他例項
例項 |
描述 |
---|---|
OSP |
OSP 例項需要存取 SSPR 例項才能重設密碼。 主機檔案位置: /etc/hosts 修改 hosts 檔案,在其中包含以下項目: <IP_address> <Private_DNS_Name> <Public_DNS_Name> 例如: 10.0.1.5 sspr.privatedns.local sspr.publicdns.com |
Identity Applications |
Identity Applications 例項需要存取 OSP 例項才能完成登入。 主機檔案位置: /etc/hosts 修改 hosts 檔案,在其中包含以下項目: <IP_address> <Private_DNS_Name> <Public_DNS_Name> 例如: 10.0.1.6 osp.privatedns.local osp.publicdns.com |
Identity Reporting |
Identity Reporting 例項需要存取 OSP 例項才能完成登入。 主機檔案位置: /etc/hosts 修改 hosts 檔案,在其中包含以下項目: <IP_address> <Private_DNS_Name> <Public_DNS_Name> 例如: 10.0.1.6 osp.privatedns.local osp.publicdns.comm |