11.3 升級 Identity Applications

本節提供關於升級 Identity Applications 和支援軟體的資訊,其中包括更新以下元件的內容:

  • Identity Manager 使用者應用程式

  • One SSO Provider (OSP)

  • Self-Service Password Reset (SSPR)

  • Tomcat、JDK 和 ActiveMQ

升級後,元件會升級至以下版本:

  • Tomcat – 8.5.40

  • ActiveMQ – 5.15.9

  • Java 8 Update 222

  • One SSO Provider – 6.3.4

  • Self-Service Password Reset – 4.4.0.3

  • Identity Applications – 4.8

  • Identity Reporting - 6.5

本節提供關於以下主題的資訊:

11.3.1 瞭解升級程式

升級程序會從現有元件中讀取組態值。這些資訊包括 ism-configuration.propertiesserver.xmlSSPRConfiguration.xml 和其他組態檔案。升級程序會使用這些組態檔案在內部叫用各元件的升級程式。此外,此程式還會建立目前安裝的備份。

11.3.2 升級先決條件

如果您的資料庫是透過 SSL 設定的,請在位於 C:\NetIQ\idm\apps\tomcat\conf 路徑下的 server.xml 檔案中,以 sslmode=require 取代 ssl=true

例如,將

jdbc:postgresql://<postgres db>:5432/idmuserappdb?ssl=true

變更為

jdbc:postgresql://<postgres db>:5432/idmuserappdb?sslmode=require

11.3.3 系統要求

升級程序會為所安裝元件的目前組態建立備份。確認伺服器器具有足夠儲存備份的空間,另外還有可供升級的可用空間。

11.3.4 升級 PostgreSQL 資料庫

重要:升級過程可能需要一段時間,時間長短取決於資料庫大小。因此,請相應規劃您的升級。

  1. 停止伺服器上正在執行的 PostgreSQL 服務。

  2. 重新命名 C:\Netiq\idm\apps 中的 postgres 目錄。

    例如,將 postgres 重新命名為 postgresql_old

  3. 執行以下指令以移除舊服務:

    sc delete <postgres 服務名稱>

  4. 安裝作業系統支援的 PostgreSQL 版本。

    選擇的位置必須與 PostgreSQL 的目前安裝位置不同。

    1. 掛接 Identity_Manager_4.8_Windows.iso 影像檔,然後導覽至 \common\postgres_tomcat 目錄。

    2. 執行 TomcatPostgreSQL.exe 檔案。

      安裝期間,請只選取 PostgreSQL 選項。

    附註:

    • 不要在 PostgreSQL 詳細資料頁面中提供任何資料庫詳細資料。確定取消選取了建立資料庫登入帳戶建立空資料庫

    • 確定您擁有新舊 PostgreSQL 安裝目錄的管理員特權。

  5. 停止新安裝的 PostgreSQL 服務。移至服務,搜尋 <PostgreSQL 版本號碼> 服務,然後停止該服務。

    附註:相應的使用者在提供有效的驗證資訊後,可以執行停止操作。

  6. 透過執行以下動作來變更新安裝的 PostgreSQL 目錄的許可權:

    建立一個 postgres 使用者:

    1. 移至控制台 > 使用者帳戶 > 使用者帳戶 > 管理帳戶

    2. 按一下新增使用者帳戶

    3. 在「新增使用者」頁面中,指定 postgres 做為使用者名稱,並提供該使用者的密碼。

    postgres 使用者提供對現有和新安裝的 PostgreSQL 目錄的許可權:

    1. 在 PostgreSQL 目錄上按一下滑鼠右鍵,然後移至內容 > 安全性 > 編輯

    2. 為該使用者選取完全控制,以提供完全許可權。

    3. 按一下套用

  7. postgres 使用者的身分存取 PostgreSQL 目錄。

    1. postgres 使用者身分登入伺服器。

      在登入之前,請驗證是否允許 postgres 使用者建立遠端連接,以確定此使用者可連接到 Windows 伺服器。

    2. 刪除新 postgres 安裝位置中的資料目錄。例如,C:\NetIQ\idm\apps\postgres\data

    3. 開啟指令提示符,然後使用以下指令設定 PGPASSWORD

      set PGPASSWORD=<your pg password>

    4. 切換至新安裝的 PostgreSQL 目錄。

    5. postgres 資料庫使用者身分執行 initdb

      initdb.exe -D <新資料目錄> -E UTF8 -U postgres

      例如,

      initdb.exe -D C:\NetIQ\idm\apps\postgres\data -E UTF8 -U postgres

  8. 從新 PostgreSQL 的 bin 目錄升級 PostgreSQL。執行以下指令,然後按一下 Enter

    附註:確定已在 C:\NetIQ\idm\apps\postgres\data\ 目錄下的 pg_hba.conf 中,將方法類型由 md5 設定為 trust

    pg_upgrade.exe --old-datadir "C:\NetIQ\idm\apps1\postgres\data" --new-datadir "C:\NetIQ\idm\apps1\postgresql962\data" --old-bindir "C:\NetIQ\idm\apps1\postgres\bin" --new-bindir "C:\NetIQ\idm\apps1\postgresql962\bin"

  9. 成功升級後,以舊 postgres 資料目錄中的檔案取代新 postgres 目錄 (C:\NetIQ\idm\apps\postgres\data) 中的 pg_hba.confpostgresql.conf 檔案。

  10. 啟動升級後的 PostgreSQL 資料庫服務。

    移至服務,搜尋 <PostgreSQL 版本號碼> 服務,然後啟動該服務。

    附註:相應的使用者在提供有效的驗證資訊後,可以執行啟動操作。

  11. 停用舊 PostgreSQL 服務,以確定該服務不會自動啟動。

  12. (選擇性) 從新安裝的 PostgreSQL 服務的 bin 目錄中刪除舊資料檔案。

    1. postgres 使用者的身分登入。

    2. 導覽至 bin 目錄,並執行 analyze_new_cluster.batdelete_old_cluster.bat 檔案。

      例如:C:\NetIQ\idm\apps\postgresql\bin

    附註:僅當您想要刪除舊資料檔案時,才需要執行此步驟。

11.3.5 升級 Identity Applications 的驅動程式套件

您必須停止 Tomcat,並將使用者應用程式驅動程式及角色與資源服務驅動程式的套件更新至最新版本。如需將套件升級至最新版本的資訊,請參閱《NetIQ Designer for Identity Manager Administration Guide》(NetIQ Designer for Identity Manager 管理指南) 中的「Upgrading Installed Packages」(升級安裝的套件)。

升級使用者應用程式驅動程式套件後,必須手動新增工作流程範本套件:

  1. 在 Designer 中,導覽至 使用者應用程式驅動程式 > 內容

  2. 依次按一下「套件」、

  3. 選取建立工作流程範本

  4. 按一下確定,然後按一下完成以完成安裝。

  5. 部署使用者應用程式驅動程式。

重要:如果在升級使用者應用程式驅動程式的過程中安裝或升級了任何電子郵件通知範本,則需要部署預設通知集合物件。

11.3.6 升級 Identity Applications

下面的程序說明了如何升級以下元件:

  • Identity Applications

  • OSP

  • Tomcat

  • PostgreSQL

  • SSPR (如果與 Identity Applications 安裝在同一部電腦上)

  • ActiveMQ

升級 Identity Applications 需要執行的步驟如下:

  1. 從 NetIQ 下載網站下載 Identity_Manager_4.8_Windows.iso

  2. 掛接下載的 .iso

  3. 導覽至 <ISO 安裝位置>\IdentityApplications 資料夾,然後執行 install.exe

  4. 選取安裝時要使用的語言,然後按一下確定

  5. 在「簡介」頁面中按下一步

  6. 閱讀並接受授權合約,然後按下一步

    安裝的元件及其版本即會顯示。

  7. 選取 Identity Applications,然後按下一步

  8. 指定 Identity Applications 的組態設定。如需詳細資訊,請參閱 Identity Applications 的組態工作表

    附註:

    • 如果您將 PostgreSQL 資料庫安裝到 Identity Applications 所在的同一部伺服器上,NetIQ 建議使用 Identity Manager 安裝程式來建立工作流程資料庫。

    • 升級時,您必須手動指定資料庫 JDBC JAR 檔案。例如,如果您使用的是 PostgresQL 資料庫,則需要指定位於 tomcat\lib 資料夾外部的資料庫 JAR 檔案的位置。

  9. 在「升級前摘要」頁面中查看設定,然後按一下升級

依據元件的安裝位置,安裝程序會在該位置建立備份目錄,並將時戳 (指示備份時間) 附加至備份目錄。

例如,

  • Tomcat – C:\NetIQ\idm\apps\tomcat_backup_02262018_033634

  • OSP 和 SSPR - C:\NetIQ\idm\apps\osp_sspr_backup_02262018_033634

  • ActiveMQ - C:\NetIQ\idm\apps\activemq_backup_02262018_033634

  • 使用者應用程式 - C:\NetIQ\idm\apps\UserApplication_backup_02262018_033634

  • Identity Reporting - C:\NetIQ\idm\apps\IdentityReporting_backup_02262018_033634

11.3.7 升級後任務

如果您將 Identity Applications 和 SSPR 安裝在不同的伺服器上,則必須將 CN 為 Identity Applications 的 SSPR 可信證書輸入至 Identity Applications 伺服器的 cacerts 中。

您還必須手動還原 Tomcat、SSPR、OSP 或 Identity Applications 的自訂設定。

針對所需元件執行升級後步驟:

Java

對照舊 JRE 的位置,驗證新升級 JRE 位置中的證書:jre\lib\security\cacerts。手動將缺少的證書輸入到 cacerts 中。

  1. 使用 keytool 指令輸入 java cacerts

    keytool -import -trustcacerts -file Certificate_Path -alias ALIAS_NAME -keystore cacerts

    附註:升級後,JRE 儲存在 Identity Applications 安裝位置。例如:C:\NetIQ\idm\apps\jre

  2. 重新啟動 Identity Vault。

  3. 驗證 JRE 主目錄位置是否為 tomcat\bin\setenv.bat

  4. 啟動組態更新公用程式,並驗證您的 cacerts 路徑。

Tomcat

  1. (視情況而定) 若要從升級程序先前建立的備份還原自訂檔案,請執行以下任務:

    • 還原自訂的 https 證書。若要還原這些證書,請將所備份 server.xml 中的 Java Secure Socket Extension (JSSE) 內容複製到 \tomcat\conf 目錄下的新 server.xml 檔案中。

    • 不要將所備份 Tomcat 目錄中的組態檔案複製到新 Tomcat 目錄中。應視需要在新版本預設組態的基礎上進行變更。如需詳細資訊,請造訪此 Apache 網站

      驗證新 server.xml 檔案是否包含以下項目

      <Connector port="8543" protocol="HTTP/1.1" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      <Connector port="8543" protocol="org.apache.coyote.http11.Http11NioProtocol" 
       maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
       clientAuth="false" sslProtocol="TLS" 
       keystoreFile="path_to_keystore_file"
       keystorePass="keystore_password" />
<!--
      <Cluster className="org.apache.catalina.ha.tcp.SimpleTcpCluster"/>
 -->

      附註:在叢集環境中,手動取消備註 server.xml 中的 Cluster 標記,然後將第一個節點上的 osp.jks (位於 C:\netiq\idm\apps\osp_backup_<date> 中) 複製到所有節點上。

    • 如果您自訂了金鑰儲存區檔案,請在新 server.xml 檔案中包括正確的路徑。

    • 將 Identity Applications 證書輸入到 Identity Vault 中 (位於 C:\NetIQ\eDirectory\jre\lib\security\cacerts)。

      例如,您可以使用以下 keytool 指令將證書輸入到 Identity Vault 中:

      keytool -importkeystore -alias <User Application certificate alias> -srckeystore <backup cacert> -srcstorepass changeit -destkeystore C:\NetIQ\eDirectory\jre\lib\security\cacerts

  2. (視情況而定) 導覽至使用者應用程式,然後透過讀取備份的組態手動還原自訂設定。

Identity Applications

將 Identity Applications 從 4.6 SP4 升級至 4.8 時,必須確定 tomcat/bin 資料夾內的 setenv 檔案中存在 Dcom.novell.afw.wf.engine-id=IDMProv 參數。如果升級 Identity Applications 後此參數缺失,則必須在 setenv 檔案中手動新增該參數,並重新啟動 Tomcat 伺服器。

One SSO Provider

logevent.conf 檔案中的 LogHost 項目預設設定為 localhost

若要修改 LogHost 項目,請手動從升級期間建立的備份還原 OSP 自訂組態。

Self-Service Password Reset

升級 SSPR 後,使用組態更新公用程式來更新 SSO 用戶端參數。如需詳細資訊,請參閱SSO 用戶端參數

若要更新 SSPR 組態詳細資料,請執行以下步驟:

  1. 以管理員身分登入 SSPR 入口網站。

  2. 更新稽核伺服器詳細資料:

    1. 導覽至您的 ID > 組態編輯器,指定組態密碼。

    2. 選取設定 > 稽核 > 稽核轉遞 > Syslog 稽核伺服器證書

    3. 從伺服器輸入這些證書,然後按一下儲存

  3. LocalDB 輸入 SSPR:

    1. 從下拉式功能表導覽至您的 ID > 組態管理員

    2. 按一下 LocalDB

    3. 按一下輸入 (上傳) LocalDB 歸檔檔案

  4. (視情況而定) 若要限制 SSPR 的組態:

    1. 從清單中導覽至您的 ID > 組態管理員

    2. 按一下限制組態

  5. 設定 SSPR 的管理員許可權,請參閱安裝後步驟

若要驗證升級是否成功,請啟動升級的元件。

例如,啟動 Identity Manager 儀表板,按一下關於。檢查應用程式顯示的是否為新版本,例如 4.8.0

Kerberos

升級公用程式會在電腦上建立新的 Tomcat 資料夾。如果任何 Kerberos 檔案 (例如 keytabKerberos_login.config) 存放在舊 Tomcat 資料夾中,請從備份資料夾中將這些檔案複製到新 Tomcat 資料夾。