21.2 安裝程序

本節提供在 Tomcat 上安裝新 Identity Applications 例項,然後針對叢集設定該例項的逐步說明。

  1. 安裝 Identity Manager 引擎。如需逐步指示,請參閱安裝程序。對於生產層級部署,建議將 Identity Manager 引擎安裝在單獨的伺服器上。

  2. 為 Identity Applications 建立並部署以下驅動程式:

    • 使用者應用程式驅動程式

    • 角色與資源服務驅動程式

  3. 在節點 1 上安裝以下 Identity Manager 元件:

    1. 使用者應用程式

      在安裝過程中進行以下設定:

      1. 選取 Tomcat 做為應用程式伺服器。

      2. 選取 PostgreSQL 做為資料庫平台。

        附註:您可以使用 Identity Manager 4.8 支援的任何資料庫。

      3. 在後續頁面中提供必需的資料庫詳細資料。

      4. 將 PostgreSQL 伺服器上的資料庫驅動程式 jar 檔案 postgresql-9.4.1212.jar 複製到叢集中的所有使用者應用程式節點上。

        附註:如果您使用的是 Identity Manager 4.8 支援的其他資料庫 (例如 Oracle 或 SQL Server),請務必將安裝資料庫的伺服器上的相應驅動程式 jar 檔案複製到叢集中的所有使用者應用程式節點上。如需詳細資訊,請參閱設定 Identity Applications 的資料庫

      5. 瀏覽並選取所複製的資料庫驅動程式 jar 檔案。

      6. 在新資料庫或現有資料庫詳細資料頁面中,選取新資料庫選項。

      7. 在 Identity Manager「組態」頁面的工作流程引擎 ID 欄位中提供唯一的名稱。例如,您可以為節點 1 使用唯一的名稱 Engine1。

      8. 若要建立新的萬能金鑰,請在「安全性 – 萬能金鑰」頁面中選取

        Identity Applications 使用萬能金鑰來加密敏感性資料。由於這是叢集中的第一個 Identity Applications 例項,因此必須選取以指示安裝程式建立新的萬能金鑰。在叢集中,使用者應用程式叢集要求每個使用者應用程式例項都使用相同的萬能金鑰。為確保使用相同的萬能金鑰,請在設定這些例項時選取以輸入現有金鑰。

  4. 在節點 2 上執行以下動作:

    1. 使用便捷安裝程式安裝 Tomcat (在安裝過程中僅選取 Tomcat)。

    2. 安裝 OSP。

      安裝期間,請在驗證詳細資料頁面中提供 Identity Manager 引擎 (eDirectory) 伺服器的 IP 位址和連接埠號碼。

    3. 安裝使用者應用程式。

      在安裝過程中進行以下設定:

      1. 選取 Tomcat 做為應用程式伺服器。

      2. 選取 PostgreSQL 做為資料庫平台。

        附註:您可以使用 Identity Manager 4.8 支援的任何資料庫。

      3. 在安裝程序的後續頁面中提供必需的資料庫詳細資料。

      4. 將 PostgreSQL 伺服器上的資料庫驅動程式 jar 檔案 postgresql-9.4.1212.jar 複製到節點 2 上。

        附註:如果您使用的是 Identity Manager 4.8 支援的任何其他資料庫 (例如 Oracle 或 SQL Server),請務必將安裝資料庫的伺服器上的相應驅動程式 jar 檔案複製到叢集中的所有使用者應用程式節點上。

      5. 瀏覽並選取所複製的資料庫驅動程式 jar 檔案。

      6. 在新資料庫或現有資料庫詳細資料頁面中,選取現有資料庫選項。

      7. 在 Identity Manager「組態」頁面的工作流程引擎 ID 欄位中提供唯一的名稱。例如,您可以為節點 2 使用唯一的名稱 Engine2。

      8. 若要在「安全性 – 萬能金鑰」頁面中建立新的萬能金鑰,請選取

        使用者應用程式叢集要求每個使用者應用程式例項都使用相同的萬能金鑰。為確保使用相同的萬能金鑰,請選取以輸入現有金鑰。此金鑰是您在節點 1 中安裝第一個使用者應用程式例項時建立的。

        您可以從節點 1 上位於 C:\NetIQ\IDM\apps\tomcat\conf 中的 ism-configuration 內容檔案獲取萬能金鑰。包含萬能金鑰的參數是 com.novell.idm.masterkey

      9. 按一下安裝以完成安裝。

    附註:如需安裝 Identity Applications 的詳細資訊,請參閱安裝程序

  5. 在負載平衡器伺服器中,針對所有叢集節點使用 Identity Applications 連接埠號碼啟動一個負載平衡器例項,使用表單轉譯器連接埠號碼啟動另一個負載平衡器例項。例如,

    • ./balance 8543 apps1-au.edu.in:8543 ! apps2-au.edu.in:8543

    • ./balance 8600 apps1-au.edu.in:8600 ! apps2-au.edu.in:8600

  6. 在單獨的電腦上安裝 SSPR。

    安裝前請記下以下設定,並在安裝過程中指定這些設定:

    1. 安裝 Tomcat。如需安裝說明,請參閱步驟 4a。

    2. 安裝 SSPR

      在 SSPR 安裝期間,執行以下動作:

      1. 在應用程式伺服器連接頁面中,選取連接至外部驗證伺服器,並提供安裝了負載平衡器的伺服器的 DNS 名稱。

      2. 在驗證詳細資料頁面中,提供 Identity Manager 引擎伺服器的 IP 位址連接埠。CA 證書的密碼為 changeit

    3. 完成 SSPR 安裝後,啟動 SSPR (https://<IP>:<port>/sspr/private/config/ConfigEditor) 並登入其中。按一下組態編輯器 > 設定 > 安全性 > 重新導向白名單

      1. 按一下新增值並指定以下 URL:

        https:<容錯移轉的 DNS><連接埠>/osp

      2. 儲存變更。

      3. 在 SSPR「組態」頁面中,按一下設定 > OAuth SSO,然後修改 OSP 連結 - 以安裝負載平衡器軟體的伺服器的 DNS 名稱取代 IP 位址。

      4. 按一下設定 > 應用程式,然後更新轉遞和登出 URL - 以安裝負載平衡器軟體的伺服器的 DNS 名稱取代 IP 位址。

    4. 若要在節點 1 上更新 SSPR 資訊,請啟動位於 C:\NetIQ\idm\apps\UserApplication\configupdate.bat 的組態公用程式。

      在隨即開啟的視窗中,按一下 SSO 用戶端 > Self Service Password Reset,並為用戶端 ID密碼OSP OAuth 重新導向 URL 參數輸入值。

    附註:驗證節點 2 中是否更新了這些參數的值。

  7. 在叢集節點上執行以下組態任務:

    1. 在所有叢集節點上重新啟動 Tomcat。

    2. 若要變更「變更我的密碼」連結,請參閱針對分散式環境或叢集環境更新儀表板中的 SSPR 連結

    3. 在節點 2 上,驗證「忘記密碼」連結和「變更我的密碼」連結是否已用 SSPR IP 位址更新。

      附註:如果「變更密碼」和「忘記密碼」連結已用 SSPR IP 位址更新,則不需要執行其他變更。

  8. 在節點 1 中,停止 Tomcat,並使用以下指令指定負載平衡器伺服器的 DNS 名稱,以產生新 osp.jks 檔案:

    C:\NetIQ\Common\JRE\bin\keytool -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass <password> -keypass <password> -alias osp -validity 1800 -dname "cn=<loadbalancer IP/DNS>"

    例如:C:\NetIQ\idm\apps\jre\bin\ -genkey -keyalg RSA -keysize 2048 -keystore osp.jks -storepass changeit -keypass changeit -alias osp -validity 1800 -dname "cn=mydnsname"

    附註:確認金鑰密碼與在 OSP 安裝期間提供的密碼相同。或者,可以使用組態更新公用程式並包括金鑰儲存區密碼來變更該密碼。

  9. (視情況而定) 若要驗證 osp.jks 檔案是否已透過這些變更更新,請執行以下指令:

    C:\NetIQ\Common\JRE\bin\keytool -list -v -keystore osp.jks -storepass changeit

  10. 備份位於 C:\NetIQ\idm\apps\osp 中的原始 osp.jks 檔案,並將新的 osp.jks 檔案複製到此位置。新 osp.jks 檔案是在步驟 8 中建立的。

  11. 將節點 1 上的新 osp.jks 檔案複製到叢集中的其他使用者應用程式節點上。

  12. 在每個叢集節點上:

    1. 導覽至 C:\netiq\idm\apps\sites 目錄,然後編輯 ServiceRegistry.json 檔案以新增負載平衡器詳細資料。

      {"serviceRegisteries":[{"serviceID":"IDM","restUrl":"https://<DNS of the load balancer>:8543/IDMProv"}]}

    2. 導覽至 C:\netiq\idm\apps\sites\ 目錄,然後編輯 config.ini 檔案以新增負載平衡器 DNS 和連接埠號碼。

      OSPIssuerUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/oauth2
OSPRedirectUrl=https://<DNS of the load balancer>:8600/forms/oauth.html
ClientID=forms
OSPLogoutUrl=https://<DNS of the load balancer>:8543/osp/a/idm/auth/app/logout

  13. 在節點 1 中啟動組態公用程式,並在「SSO 用戶端」索引標籤下將所有 URL 設定 (例如抵達頁面的 URL 連結和 OAuth 重新導向 URL) 變更為負載平衡器 DNS 名稱。

    1. 儲存在組態公用程式中所做的變更。檢查 ism-configuration properties 檔案是否體現了相應變更,若有任何 URL 仍指向節點 1 DNS 和連接埠,請予以修改。

    2. 若要在叢集的所有其他節點中反映此變更,請將節點 1 上位於 C:\NetIQ\IDM\apps\tomcat\conf 中的 ism-configuration properties 檔案複製到叢集中的其他使用者應用程式節點上。

      附註:您之前已將節點 1 上的 ism.properties 檔案複製到叢集中的其他節點上。如果您在使用者應用程式安裝期間指定了自訂安裝路徑,請在叢集節點中使用組態更新公用程式確保參考路徑正確。

      此情境中,OSP 和使用者應用程式安裝在同一部伺服器上;因此,為重新導向 URL 使用了相同的 DNS 名稱。

      如果 OSP 和使用者應用程式安裝在不同的伺服器上,請將 OSP URL 變更為指向負載平衡器的不同 DNS 名稱。請對安裝了 OSP 的所有伺服器執行此操作。執行此操作可確保所有 OSP 申請均透過負載平衡器發送到 OSP 叢集 DNS 名稱。這涉及到為 OSP 節點建立一個單獨的叢集。

  14. 在位於 /TOMCAT_INSTALLED_HOME/bin/ 目錄下的 setevn.sh 檔案中執行以下動作:

    1. 為確保 mcast_addr 繫結成功,JGroups 要求將 preferIPv4Stack 內容設定為 true。為此,請在所有節點上的 setenv.sh 檔案中新增 JVM 內容「-Djava.net.preferIPv4Stack=true」。

    2. 在節點 1 上的 setenv.sh 檔案中新增「-Dcom.novell.afw.wf.Engine-id=Engine1」。同樣,為叢集中的每個節點新增唯一的引擎名稱。例如,對於節點 2,可以新增引擎名稱 Engine2。

  15. 在使用者應用程式中啟用叢集。

    1. 在節點 1 上啟動 Tomcat。

      不要啟動任何其他伺服器。

    2. 以使用者應用程式管理員身分登入使用者應用程式。

    3. 按一下組態 > 快取和叢集選項。

      使用者應用程式將顯示「快取管理」頁面。

    4. 按一下叢集快取組態,並為叢集已開啟內容選取 True

    5. 按一下儲存

    6. 重新啟動 Tomcat。

    附註:如果您已選取「啟用本地」設定,請針對叢集中的每個伺服器重複此程序。

    使用者應用程式叢集使用 JGroups 在採用預設 UDP 的節點間進行快取同步。如果您想將此通訊協定變更為使用 TCP,請參閱「Configuring User Application to use TCP」(將使用者應用程式設定為使用 TCP)。

  16. 為叢集啟用許可權索引。如需詳細資訊,請參閱為叢集啟用許可權索引

  17. 啟用 Tomcat 叢集。

    在所有叢集節點上開啟 /TOMCAT_INSTALLED_HOME/conf/ 中的 Tomcat server.xml 檔案,並取消注釋此檔案中的下行:

    <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>

    對於進階 Tomcat 叢集組態,請依照 Apache 文件網站中的步驟操作。

  18. 在所有節點上重新啟動 Tomcat。

  19. 為叢集設定使用者應用程式驅動程式。

    在叢集環境中,可以將單個使用者應用程式驅動程式與多個使用者應用程式例項配合使用。該驅動程式會儲存應用程式特定的各種資訊 (例如工作流程組態和叢集資訊)。必須將驅動程式設定為使用叢集的發送器或負載平衡器的主機名稱或 IP 位址。

    1. 登入用於管理 Identity Vault 的 iManager 例項。

    2. 在導覽框架中,選取 Identity Manager

    3. 選取 Identity Manager 綜覽

    4. 使用搜尋網頁顯示「Identity Manager 綜覽」,以瞭解包含使用者應用程式驅動程式的驅動程式集。

    5. 按一下驅動程式圖示右上角的圓形狀態指示器:

    6. 選取編輯內容

    7. 對於驅動程式參數,請將主機變更為負載平衡器的主機名稱或 IP 位址。

    8. 按一下確定

    9. 重新啟動驅動程式。

  20. 若要變更角色與資源服務驅動程式的 URL,請重複步驟 19a 至 19f,然後按一下驅動程式組態,並以負載平衡器 DNS 名稱更新使用者應用程式 URL

  21. 確認針對使用者應用程式節點的負載平衡器軟體中建立的叢集啟用了工作階段綁定。

大多數負載平衡器都提供狀態檢查功能,以確定 HTTP 伺服器是否已啟動且正在監聽。使用者應用程式包含一個 URL,可用於設定負載平衡器上的 HTTP 狀態檢查。該 URL 為:

http://<節點 IP>:連接埠/IDMProv/jsps/healthcheck.jsp