NetIQ 建議您為 Identity Manager 引擎容器使用主機網路模式,為所有其他 Identity Manager 容器使用重疊網路。在本指南使用的範例中,我們將在 Docker 主機 A 上部署 Identity Manager 容器,在 Docker 主機 B 上部署其他 Identity Manager 容器。
設定重疊網路需要執行的步驟如下:
在 Docker 主機 A 上執行以下指令:
docker run -d -p <host port>:8500 -h consul --name <container name> progrium/consul -server -bootstrap
例如:
docker run -d -p 8500:8500 -h consul --name consul progrium/consul -server -bootstrap
在 Docker 主機 B 上編輯 /etc/sysconfig/ 目錄中的 docker 檔案,新增下面一行:
DOCKER_OPTS="-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --cluster-advertise <Master Server Network Interface>:2375 --cluster-store consul://<Docker Host A IP Address>:<Docker Host A Port>"
例如:
DOCKER_OPTS="-H tcp://0.0.0.0:2375 -H unix:///var/run/docker.sock --cluster-advertise eth0:2375 --cluster-store consul://172.120.0.1:8500"
在 Docker 主機 B 上重新啟動 Docker 服務:
systemctl restart docker
在 Docker 主機 B 中,執行以下指令來檢查 Docker 主機 B 是否已新增至叢集中:
docker info
範例輸出將如下所示:
Cluster store: consul://<Docker HOST A IP Address>:8500
Cluster advertise: <Docker HOST B IP Address>:2375
在 Docker 主機 B 上建立覆蓋網路:
docker network create -d overlay --subnet=<subnet in CID format that represents a network segment> --gateway=<ipv4 gateway> <name of the overlay network>
例如:
docker network create -d overlay --subnet=192.168.0.0/24 --gateway=192.168.0.1 idmoverlaynetwork
執行以下指令來驗證是否已建立覆蓋網路:
docker network ls
對於 Docker 部署中的所有 Docker 主機,必須使用主機上執行的所有容器的詳細資料來更新該主機的 /etc/hosts 檔案。確定所有容器的主機名稱僅採用完全合格的網域名稱 (FQDN) 格式。
所有元件的主機檔案項目可採用以下格式:
<容器的 IP> <FQDN> <簡短名稱>
在本指南使用的範例部署中,於 /etc/hosts 檔案中新增以下項目:
172.120.0.1 identityengine.example.com identityengine 192.168.0.2 remoteloader.example.com remoteloader 192.168.0.3 fanoutagent.example.com fanoutagent 192.168.0.4 imanager.example.com imanager 192.168.0.5 osp.example.com osp 192.168.0.6 postgresql.example.com postgresql 192.168.0.7 identityapps.example.com identityapps 192.168.0.8 formrenderer.example.com formrenderer 192.168.0.9 activemq.example.com activemq 192.168.0.10 identityreporting.example.com identityreporting 192.168.0.11 sspr.example.com sspr
確定協力廠商 jar 檔案為已掛接的磁碟區,這樣每次啟動容器時這些檔案才可用。例如,如果容器的 /opt/netiq/idm/apps/tomcat/lib 目錄中存在 ojdbc.jar,則您必須使用如下範例指令對 jar 檔案進行磁碟區掛接操作:
-v /host/ojdbc.jar:/opt/netiq/idm/apps/tomcat/lib/ojdbc.jar
必須在部署容器之前產生靜默內容檔案。如需產生靜默內容檔案的詳細資訊,請參閱建立靜默內容檔案。
做為先決條件,您必須知道要用於容器的連接埠。您必須公開所需的連接埠,並將容器連接埠對應至 Docker 主機上的連接埠。下表依據指南中的範例提供了您必須在 Docker 主機上公開的連接埠資訊。
容器 |
假定根據範例部署使用的預設連接埠 |
---|---|
遠端載入器 |
8090 |
擴送代理程式 |
不適用 |
iManager |
8743 |
OSP |
8543 |
Identity Applications |
18543 |
Identity Reporting |
28543 |
表單轉譯器 |
8600 |
ActiveMQ |
|
PostgreSQL |
5432 |
SSPR |
8443 附註:SSRP 容器僅可在 8443 連接埠上執行。 |
不過,您可以依據自己的需要自訂連接埠。在公開連接埠時,請遵循以下注意事項:
確定您要公開的並非使用中的連接埠。
必須將容器連接埠對應至 Docker 主機上的相同連接埠。例如,必須將容器上的 8543 連接埠對應至 Docker 主機上的 8543 連接埠。
必須依以下順序部署容器:
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_identityengine.tar.gz
使用以下指令部署容器:
docker run -d --network=host --name=engine-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityengine:idm-4.8.0
若要驗證是否已成功部署容器,請執行以下指令來檢查記錄檔案:
tail -f /data/idm/log/idmconfigure.log
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it engine-container bash
附註:若要執行 ndstrace 或 ndsrepair 等 Identity Vault 公用程式,請以非 root 使用者 nds 的身分登入容器。如果您以 root 使用者身分登入,則無法執行這些公用程式。若要以 nds 使用者身分登入容器,請執行 docker exec -it engine-container sudo nds 指令。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_remoteloader.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.2 --network=idmoverlaynetwork --hostname=remoteloader.example.com -p 8090:8090 --name=rl-container -v /etc/hosts:/etc/hosts -v /data:/config remoteloader:idm-4.8.0
此指令會部署 64 位元和 32 位元版本的遠端載入器。容器的 /opt/novell/eDirectory/lib/dirxml/classes/ 目錄中提供了驅動程式檔案。
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it rl-container bash
設定遠端載入器。如需詳細資訊,請參閱《NetIQ Identity Manager Driver Administration Guide》(NetIQ Identity Manager 驅動程式管理指南) 中的「Configuring the Remote Loader and Drivers」(設定遠端載入器和驅動程式)。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_fanoutagent.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.3 --network=idmoverlaynetwork --hostname=fanoutagent.example.com --name=foa-container -v /etc/hosts:/etc/hosts -v /data:/config fanoutagent:idm-4.8.0
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it foa-container bash
設定擴送代理程式。如需詳細資訊,請參閱《NetIQ Identity Manager Driver for JDBC Fanout Implementation Guide》(NetIQ Identity Manager Driver for JDBC Fanout 實作指南) 中的「Configuring the Fanout Agent」(設定擴送代理程式)。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_iManager320.tar
使用符合您環境要求的所需組態建立 .env 檔案。例如,在 /data 目錄中建立 iManager.env。
# Certificate Public Key Algorithm # Allowed Values: RSA, ECDSA256, ECDSA384 CERTIFICATE_ALGORITHM=RSA # Cipher Suite # Allowed Values: # For RSA - NONE, LOW, MEDIUM HIGH # For ECDSA256 - SUITEB128ONLY # For ECDSA384 - SUITEB128, SUITEB192 CIPHER_SUITE=NONE # Tomcat Server HTTP Port TOMCAT_HTTP_PORT=8080 # Tomcat Server SSL Port TOMCAT_SSL_PORT=8743 # iManager Authorized User (admin_name.container_name.tree_name) AUTHORIZED_USER=
在共用磁碟區 data 下建立一個子目錄,例如 iManager。
使用以下指令部署容器:
docker run -d --ip=192.168.0.4 --name=iman-container --network=idmoverlaynetwork --hostname=imanager.example.com -v /etc/hosts:/etc/hosts -v /data:/config -v /data/iManager.env:/etc/opt/novell/iManager/conf/iManager.env -p 8743:8743 imanager:3.2.0
若要安裝 Identity Manager 外掛程式,請執行以下步驟:
登入 iManager。
https://imanager.example.com:8743/nps/
按一下「設定」。
依次按一下外掛程式安裝、可用的 NetIQ 外掛程式模組。
從 NetIQ 外掛程式模組清單中選取所有外掛程式,然後按一下安裝。
若要離線獲取外掛程式,請執行以下步驟:
從 NetIQ 下載網站下載 Identity_Manager_4.8_Linux.iso。
掛接下載的 .iso。
從掛接位置導覽至 /iManager/plugins 目錄,然後獲取所需外掛程式。
您也可以從 iManager 外掛程式網站上安裝外掛程式。
重新啟動 iManager 容器。
docker restart iman-container
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it iman-container bash
如需部署 iManager 容器的詳細資訊,請參閱《NetIQ iManager Installation Guide》(NetIQ iManager 安裝指南) 中的「Deploying iManager Using Docker Container」(使用 Docker 容器部署 iManager)。
(視情況而定) 僅當您使用 Identity Vault 做為證書管理中心時,本節內容才適用。
下列元件需要您先產生證書才能部署。在為下列元件產生證書前,請務必先部署 Identity Manager 引擎和 iManager 容器。
產生證書需要執行的步驟如下:
登入 iManager 容器。
docker exec -it <容器> <指令>
例如,
docker exec -it iman-container bash
請務必設定 Java 路徑。例如,執行以下指令:
export PATH=<java 安裝位置>/bin:$PATH
例如,
export PATH=/opt/netiq/common/jre/bin/:$PATH
附註:確定安裝的 Java 版本是 Azul Zulu 1.80_222 或更新版本。
產生 PKCS 金鑰儲存區:
keytool -genkey -alias osp -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-osp.ks -validity 3650 -keysize 2048 -dname "CN=osp.example.com" -keypass <password> -storepass <password>
產生證書簽署申請:
keytool -certreq -v -alias osp -file /config/osp.csr -keypass <password> -keystore /config/tomcat-osp.ks -storepass <password>
產生自行簽署的證書:
在 Docker 主機上啟動 iManager,並以管理員身分登入。
導覽至角色和任務 > NetIQ 證書伺服器 > 核發證書。
瀏覽至在步驟 3 中建立的 .csr 檔案。例如 osp.csr。
按下一步。
指定金鑰使用方法,然後按下一步。
對於證書類型,請選取未指定。
按下一步。
指定證書的有效期,然後按下一步。
選取二進位 DER 格式的檔案選項圓鈕。
按下一步。
按一下完成。
下載證書並將其複製到 /data 目錄。
輸出 .der 格式的根證書:
在 Docker 主機上啟動 iManager,並以管理員身分登入。
導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書。
選取 SSL 證書 DNS 核取方塊並按一下輸出。
在證書下拉式清單中選取「組織 CA」。
在輸出格式下拉式清單中選取 DER。
按下一步。
下載證書並將其複製到 /data 目錄。
將證書輸入至您在步驟 2 中建立的 PKCS 金鑰儲存區中:
keytool -import -trustcacerts -alias root -keystore /config/tomcat-osp.ks -file /config/cert.der -storepass <password> -noprompt
keytool -import -alias osp -keystore /config/tomcat-osp.ks -file /config/osp.der -storepass <password> -noprompt
附註:請確定指定為部署輸入的路徑中有金鑰儲存區。
產生證書需要執行的步驟如下:
登入 iManager 容器。
docker exec -it <容器> <指令>
例如,
docker exec -it iman-container bash
請務必設定 Java 路徑。例如,執行以下指令:
export PATH=<java 安裝位置>/bin:$PATH
例如,
export PATH=/opt/netiq/common/jre/bin/:$PATH
附註:確定安裝的 Java 版本是 Azul Zulu 1.80_222 或更新版本。
產生 PKCS 金鑰儲存區:
keytool -genkey -alias ua -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-ua.ks -validity 3650 -keysize 2048 -dname "CN=identityapps.example.com" -keypass <password> -storepass <password>
產生證書簽署申請:
keytool -certreq -v -alias ua -file /config/ua.csr -keypass <password> -keystore /config/tomcat-ua.ks -storepass <password>
產生自行簽署的證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書伺服器 > 核發證書。
瀏覽至在步驟 3 中建立的 .csr 檔案。例如 ua.csr。
按下一步。
指定金鑰使用方法,然後按下一步。
對於證書類型,請選取未指定。
按下一步。
指定證書的有效期,然後按下一步。
選取二進位 DER 格式的檔案選項圓鈕。
按下一步。
按一下完成。
下載證書並將其複製到 /data 目錄。
輸出 .der 格式的根證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書。
選取 SSL 證書 DNS 核取方塊並按一下輸出。
在證書下拉式清單中選取「組織 CA」。
在「輸出格式」下拉式清單中選取 DER。
按下一步。
下載證書並將其複製到 /data 目錄。
將證書輸入至步驟 2 中的 PKCS 金鑰儲存區:
keytool -import -trustcacerts -alias root -keystore /config/tomcat-ua.ks -file /config/cert.der -storepass <password> -noprompt
keytool -import -alias ua -keystore /config/tomcat-ua.ks -file /config/ua.der -storepass <password> -noprompt
附註:請確定指定為部署輸入的路徑中有證書。
產生證書需要執行的步驟如下:
登入 iManager 容器。
docker exec -it <容器> <指令>
例如,
docker exec -it iman-container bash
請務必設定 Java 路徑。例如,執行以下指令:
export PATH=<java 安裝位置>/bin:$PATH
例如,
export PATH=/opt/netiq/common/jre/bin/:$PATH
附註:確定安裝的 Java 版本是 Azul Zulu 1.80_222 或更新版本。
產生 PKCS 金鑰儲存區:
keytool -genkey -alias rpt -keyalg RSA -storetype pkcs12 -keystore /config/tomcat-rpt.ks -validity 3650 -keysize 2048 -dname "CN=identityreporting.example.com" -keypass <password> -storepass <password>
產生證書簽署申請:
keytool -certreq -v -alias rpt -file /config/rpt.csr -keypass <password> -keystore /config/tomcat-rpt.ks -storepass <password>
產生自行簽署的證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書伺服器 > 核發證書。
瀏覽至在步驟 3 中建立的 .csr 檔案。例如 rpt.csr。
按下一步。
指定金鑰使用方法,然後按下一步。
對於證書類型,請選取未指定。
按下一步。
指定證書的有效期,然後按下一步。
選取二進位 DER 格式的檔案選項圓鈕。
按下一步。
按一下完成。
下載證書並將其複製到 /data 目錄。
輸出 .der 格式的根證書:
以管理員身分登入 iManager。
導覽至角色和任務 > NetIQ 證書存取 > 伺服器證書。
選取 SSL 證書 DNS 核取方塊並按一下輸出。
在證書下拉式清單中選取「組織 CA」。
在「輸出格式」下拉式清單中選取 DER。
按下一步。
下載證書並將其複製到 /data 目錄。
將證書輸入至您在步驟 2 中建立的 PKCS 金鑰儲存區中:
keytool -import -trustcacerts -alias root -keystore /config/tomcat-rpt.ks -file /config/cert.der -storepass <password> -noprompt
keytool -import -alias rpt -keystore /config/tomcat-rpt.ks -file /config/rpt.der -storepass <password> -noprompt
附註:請確定指定為部署輸入的路徑中有證書。
附註:在部署 OSP 容器之前,請務必產生所需的證書。如需詳細資訊,請參閱 產生 OSP 的證書。
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_osp.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.5 --network=idmoverlaynetwork --hostname=osp.example.com -p 8543:8543 --name=osp-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties osp:idm-4.8.0
若要驗證是否已成功部署容器,請執行以下指令來檢查記錄檔案:
tail -f /data/osp/log/idmconfigure.log
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it osp-container bash
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_postgres.tar.gz
在共用磁碟區 data 下建立一個子目錄,例如 postgres。
mkdir postgres
使用以下範例指令部署容器:
docker run -d --ip=192.168.0.6 --network=idmoverlaynetwork --hostname=postgresql.example.com --name=postgresql-container -p 5432:5432 -e POSTGRES_PASSWORD=<密碼> -v /data/postgres:/var/lib/postgresql/data -v /etc/hosts:/etc/hosts -v /data:/config postgres:9.6.12-alpine
例如,
docker run -d --ip=192.168.0.6 --network=idmoverlaynetwork --hostname=postgresql.example.com --name=postgresql-container -p 5432:5432 -e POSTGRES_PASSWORD=novell -v /data/postgres:/var/lib/postgresql/data -v /etc/hosts:/etc/hosts -v /data:/config postgres:9.6.12-alpine
建立 Identity Applications 的 idmdamin 使用者。
docker exec -it postgresql-container psql -U postgres -c "CREATE USER idmadmin WITH ENCRYPTED PASSWORD '<password>'"
建立 Identity Applications、工作流程和 Identity Reporting 資料庫。
docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE idmuserappdb"
docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE igaworkflowdb"
docker exec -it postgresql-container psql -U postgres -c "CREATE DATABASE idmrptdb"
附註:當您設定 Identity Applications 和 Identity Reporting 容器時,會用到這些資料庫。
為 idmadmin 使用者授予對資料庫的所有特權:
docker exec -it postgresql-container psql -U postgres -c "GRANT ALL PRIVILEGES ON DATABASE idmuserappdb TO idmadmin"
docker exec -it postgresql-container psql -U postgres -c "GRANT ALL PRIVILEGES ON DATABASE igaworkflowdb TO idmadmin"
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it postgresql-container bash
附註:在部署 Identity Applications 容器之前,請務必產生所需的證書。如需詳細資訊,請參閱 產生 Identity Applications 的證書。
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
附註:將應用程式伺服器連接埠的值指定為公開的連接埠 18543。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_identityapplication.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.7 --network=idmoverlaynetwork --hostname=identityapps.example.com -p 18543:18543 --name=idapps-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityapplication:idm-4.8.0
若要驗證是否已成功部署容器,請執行以下指令來檢查記錄檔案:
tail -f /data/userapp/log/idmconfigure.log
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it idapps-container bash
執行以下指令:
附註:在執行此步驟之前,請確定容器已成功部署。
/opt/netiq/common/jre/bin/keytool -importkeystore -srckeystore /config/tomcat-osp.ks -srcstorepass <密碼> -destkeystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -deststorepass <密碼>
輸入 yes 以覆寫 root 別名的項目。
重新啟動 Identity Applications 容器。
docker restart idapps-container
附註:若要在組態更新公用程式中修改任何設定,請從 Identity Applications 容器的 /opt/netiq/idm/apps/configupdate/ 目錄啟動 configupdate.sh。只能在主控台模式下啟動組態更新公用程式。
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_formrenderer.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.8 --network=idmoverlaynetwork --hostname=formrenderer.example.com -p 8600:8600 --name=fr-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties formrenderer:idm-4.8.0
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it fr-container bash
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_activemq.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.9 --network=idmoverlaynetwork --hostname=activemq.example.com -p 8161:8161 -p 61616:61616 --name=amq-container -v /etc/hosts:/etc/hosts -v /data:/config --env-file /data/silent.properties activemq:idm-4.8.0
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it amq-container bash
設定 ActiveMQ。如需詳細資訊,請參閱《NetIQ Identity Manager Driver for JDBC Fanout Implementation Guide》(NetIQ Identity Manager Driver for JDBC Fanout 實作指南) 中的「Setting Up ActiveMQ Startup Service 」(設定 ActiveMQ 啟動服務)。
附註:在部署 Identity Reporting 容器之前,請務必產生所需的證書。如需詳細資訊,請參閱 產生 Identity Reporting 的證書。
產生靜默內容檔案。如需詳細資訊,請參閱 建立靜默內容檔案。
附註:將應用程式伺服器連接埠的值指定為公開的連接埠 28543。
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_identityreporting.tar.gz
使用以下指令部署容器:
docker run -d --ip=192.168.0.10 --network=idmoverlaynetwork --hostname=identityreporting.example.com -p 28543:28543 --name=rpt-container -v /etc/hosts:/etc/hosts -v /data:/config -e SILENT_INSTALL_FILE=/config/silent.properties identityreporting:idm-4.8.0
若要驗證是否已成功部署容器,請執行以下指令來檢查記錄檔案:
tail -f /data/reporting/log/idmconfigure.log
若要登入容器,請執行以下指令:
docker exec -it <容器> <指令>
例如,
docker exec -it rpt-container bash
執行以下指令:
附註:在執行此步驟之前,請確定容器已成功部署。
/opt/netiq/common/jre/bin/keytool -importkeystore -srckeystore /config/tomcat-osp.ks -srcstorepass <密碼> -destkeystore /opt/netiq/idm/apps/tomcat/conf/idm.jks -deststorepass <密碼>
輸入 yes 以覆寫 root 別名的項目。
重新啟動 Identity Reporting 容器。
docker restart rpt-container
部署 SSPR 容器需要執行的任務如下:
產生 SSPR 的靜默內容檔案。在產生靜默內容檔案時選取 Identity Applications。如需詳細資訊,請參閱 建立靜默內容檔案。
在共用磁碟區 data 下建立一個子目錄,例如 sspr。
mkdir sspr
在解壓縮 Identity_Manager_4.8_Containers.tar.gz 檔案的位置,導覽至 Identity_Manager_4.8_Containers 目錄。
執行以下指令以載入影像:
docker load --input IDM_48_sspr.tar.gz
使用以下範例指令部署容器:
docker run -d --ip=192.168.0.11 --network=idmoverlaynetwork --hostname=sspr.example.com --name=sspr-container -v /etc/hosts:/etc/hosts -v /data/sspr:/config -p 8443:8443 sspr/sspr-webapp:latest
在 Docker 主機上執行以下指令,以將 Docker 主機中的 silent.properties 檔案複製到 SSPR 容器:
docker cp /data/silent.properties sspr-container:/tmp
將靜默內容檔案載入到 SSPR 容器。
docker exec -it sspr-container /app/command.sh ImportPropertyConfig /tmp/silent.properties
附註:檢查是否在 SSPR 容器的 /config 目錄下建立了 SSPRConfiguration.xml,並驗證該檔案的內容。
將 OAuth 證書輸入至 SSPR 中:
在 Docker 主機上編輯 /data/sspr 目錄中的 SSPRConfiguration.xml 檔案,將 configIsEditable 旗標的值設定為 true 並儲存變更。
啟動瀏覽器並輸入 https://sspr.example.com:8443/sspr URL。
使用管理員身分證明 (例如 uaadmin) 登入。
按一下右上角的使用者 (例如 uaadmin),然後按一下組態編輯器。
指定組態密碼,然後按一下登入。
按一下設定 > 單一登入 (SSO) 用戶端 > OAuth,確定所有 URL 都使用 HTTPS 通訊協定和正確的連接埠。
在 OAuth 伺服器證書下,按一下從伺服器輸入以輸入新證書,然後按一下確定。
按一下右上角的 以儲存證書。
檢視變更並按一下確定。
SSPR 應用程式重新啟動之後,編輯 SSPRConfiguration.xml 檔案,將 configIsEditable 旗標的值設定為 true 並儲存變更。