3.6 安裝後步驟

本節提供有關在安裝 Identity Applications 後更新 Tomcat 環境的資訊。

3.6.1 將 preferIPv4Stack 內容傳遞至 JVM

Identity Applications 使用 JGroups 來執行快取。在某些組態中,JGroups 要求您將 preferIPv4Stack 內容設定為 true,以確保 mcast_addr 結合成功。

如果不使用此選項,可能會發生以下錯誤:

[10/1/09 16:11:22:147 EDT] 0000000d UDP           W org.jgroups.util.Util
createMulticastSocket could not bind to /228.8.8.8 (IPv4 address); make sure
your mcast_addr is of the same type as the IP stack (IPv4 or IPv6).

您還可能會看到此錯誤:

[3/21/12 10:04:32:470 EDT] 00000024 UDP      E org.jgroups.protocols.TP down
failed sending message to null (131 bytes)
        java.lang.Exception: dest=/228.8.8.8:45654 (134 bytes)
    at org.jgroups.protocols.UDP._send(UDP.java:353)

參數 java.net.preferIPv4Stack=true 是一個系統內容,可以使用與其他系統內容 (例如 extend.local.config.dir) 相同的方式進行設定。

3.6.2 檢查伺服器的狀態

大多數負載平衡器都提供狀態檢查功能,以確定 HTTP 伺服器是否已啟動且正在監聽。使用者應用程式包含一個 URL,可用於設定負載平衡器上的 HTTP 狀態檢查。該 URL 為:

http://<節點 IP>:連接埠/IDMProv/jsps/healthcheck.jsp

3.6.3 監控狀態統計資料

REST API 可讓您擷取有關使用者應用程式狀態的資訊。 API 可以存取系統,以獲取目前正在執行的線串、記憶體佔用情況、快取和叢集資訊,並使用 GET 操作傳回資訊。

  • 記憶體資訊 (JVM 與系統記憶體): 讀取與記憶體相關的資訊,例如系統記憶體和 JVM 佔用的記憶體。

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/memoryinfo

  • 線串資訊: 讀取大量佔用 CPU 資源的線串的相關資訊,並傳回導致高 CPU 利用率的排名靠前的線串清單。

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo

    若要存取 JVM 中線串的堆疊追蹤,請將堆疊參數設定為 True

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?stack=true

    若要指定 JVM 中的線串數,請為 thread-count 參數指定值。

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/threadinfo?thread-count=1

  • 快取資訊: 讀取使用者應用程式的快取資訊。

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/cacheinfo

  • 叢集資訊: 讀取與叢集相關的資訊。

    例如,

    http://<ip_addr:port>/IDMProv/rest/monitoring/statistics/clusterinfo

附註:您必須是安全性管理員才能使用 REST API 檢視使用者應用程式狀態統計資料。

3.6.4 建立複合索引

安裝或升級 Identity Applications 後,為您要用於在 Identity Manager 儀表板中對使用者排序的每個屬性手動建立複合索引。您可以使用位於 eDirectory 安裝路徑中的 ndsindex 公用程式來建立複合索引。可以指定多個屬性並以 $ 符號分隔來建立複合索引。下面是需要建立複合索引的基本屬性:

  • Surname,Given Name

  • Given Name,Surname

  • cn,Surname

  • Title,Surname

  • Telephone Number,Surname

  • Internet Email Address,Surname

  • L,Surname

  • OU,Surname

以下指令可協助您使用 ndsindex 公用程式來建立複合索引:

ndsindex add [-h <hostname>] [-p <port>] -D <admin DN> -W|[-w <password>] -s <eDirectory Server DN> [<indexName1>, <indexName2>.....] 

例如,若要依職位對使用者排序,請執行以下指令:

ndsindex add -h <hostname> -p <ldap port> -D <admin DN> -w <admin passwd> -s <eDirectory Server DN> Title-SN;Title$Surname;value

您也可以使用轉換輸出公用程式建立複合索引。

必須使用 LDIF 檔案來建立索引。輸入 LDIF 檔案後,請透過觸發 Limber 來啟動索引編制活動。否則,索引編制將在 Limber 自動觸發時才執行。

用於建立複合索引,以依據 Title 屬性對使用者排序的範例 LDIF 檔案:

dn: cn=osg-nw5-7, o=Novell
changetype: modify
add: indexDefinition
indexDefinition: 0$sntitleindex$0$0$0$1$Title$surname

如需 LDIF 檔案的詳細資訊,請參閱《NetIQ eDirectory Administration Guide》(NetIQ eDirectory 管理指南) 中的「LDIF Files」(LDIF 檔案)。

3.6.5 設定 Identity Application 以拒絕用戶端發起的 SSL 重新交涉

依預設,Identity Applications 安裝程式會設定一個非安全連接 (http)。在某些情況下,非安全連接會使 Identity Manager 容易受到因用戶端所發起與 Identity Applications 伺服器的 SSL 重新交涉而導致的拒絕服務攻擊。為防止發生此問題,請將以下旗標新增至 <tomcat-install-directory>\bin\setenv.bat 檔案中的 CATALINA_OPTS 項目。

 "-Djdk.tls.rejectClientInitiatedRenegotiation=true"