2.1 Topologie

Die Anzahl von Instanzen in jedem großen Subsystem und die Art und Weise ihrer Verbindung miteinander sind vielfältig. Es wird nicht jedes mögliche Layout unterstützt. Es ist wichtig, nicht nur die Möglichkeiten zu verstehen, sondern auch, warum einige Konfigurationen besser sind als andere.

2.1.1 Minimale Konfiguration

Die einfachste logische Konfiguration der Benutzeranwendung ist eine Installation, bei der jede Komponente einmal installiert wird, d. h., sie besteht aus einem Identitätsdepot-Baum, einer Instanz der Identity Manager-Engine und deren Treibern sowie einer Instanz von JBoss, auf der eine einzelne Instanz der Benutzeranwendung ausgeführt wird. Hinsichtlich der physischen Implementierung könnten Sie theoretisch all diese Komponenten auf einem Computer ausführen. In der Praxis würde man dies jedoch aus mehreren Gründen vermeiden (hauptsächlich aus Gründen der Sicherheit, der Wartungsfähigkeit und der Performance). Bei der Entscheidung, wie viele Computer in der Praxis für die Installation benötigt werden, sollten Sie (mindestens) Folgendes berücksichtigen:

  • Novell Audit-Server: Diese Komponente ist zur Laufzeit verantwortlich für die Erfassung von Ereignisinformationen (und möglicherweise vieler anderer Informationen) der Benutzeranwendungsumgebung. Sie erfüllt möglicherweise den weiteren Zweck der persistenten Speicherung für andere Anwendungen in Ihrem Unternehmen. Es gibt mehrere Gründe, aus denen Sie andere Hauptkomponenten des Identity Manager-Systems (z. B. JBoss oder das Identitätsdepot) nicht auf demselben Computer installieren sollten, auf dem der Audit-Server installiert ist.
  • Identitätsdepot: Bei dieser Komponente tritt ein hoher Datenverkehr auf, daher sind eine gute Leistung und eine gute Skalierbarkeit erforderlich. Sie sollten erwägen, das Identitätsdepot auf einem eigenen Computer zu installieren. Es ist nicht empfehlenswert, auf dem gleichen Computer neben dem Identitätsdepot ein weiteres System mit hohem Datenverkehr auszuführen, z. B. JBoss mit einer Implementierung der Benutzeranwendung.
  • Datenbank: Wenn diese Instanz von MySQL (oder einer anderen unterstützten Datenbank) gleichzeitig Ihre Novell Audit-Datenbank ist, befindet sie sich vermutlich auf einem eigenen Computer. Beachten Sie, dass diese Komponente folgendermaßen von der Benutzeranwendung verwendet wird:
  • Als persistenter Speicher für Portalkonfigurationsdaten
  • Als persistenter Speicher für Statusinformationen über aktive Workflows (bei installiertem Bereitstellungsmodul)
  • Optional als Protokollspeicher für Novell Audit.
  • JBoss: Aus Gründen der Leistung und der Kapazität sollte diese Komponente auf einem eigenen Computer ausgeführt werden.

Aus diesen Überlegungen ergibt sich die folgende Mindestkonfiguration auf drei Computern:

Beschreibung: Beschreibung: Abbildung

2.1.2 Hochverfügbarkeitskonfuguration

Die Cluster-Gruppierung zur Erzielung einer hohen Verfügbarkeit/Kapazität wird in einem späteren Abschnitt in diesem Kapitel behandelt. Zunächst einige allgemeine Informationen:

  • Identity Manager unterstützt die Hochverfügbarkeit des Identitätsdepots, der Engine und der Treiber über die Multinode-Installation und die Mechanismen der gemeinsamen Speichernutzung, wie im Kapitel über die “Hochverfügbarkeit” im Administrationshandbuch von Identity Manager beschrieben. Eine umfassende Erläuterung zum Einrichten eines solchen Systems mit SUSE Linux finden Sie in einem Artikel unter:

    http://support.novell.com/cgi-bin/search/searchtid.cgi?/10093317.htm

  • Eine Hochverfügbarkeit der Benutzeranwendung wird durch das JBoss-Cluster ermöglicht. Sie können ein JBoss-Cluster so einrichten, dass jeder Knoten eine Instanz der Benutzeranwendung ausführt. Alle Instanzen sind gleichrangig (Peers). Es ist jedoch keine Reproduktion von Sitzungen über mehrere Instanzen hinweg möglich. Jede Instanz ist verantwortlich für ihre entsprechende Arbeitseinheit und beendet keine Sitzung, die auf einem Geschwisterknoten gestartet wurde.
  • Ein automatisches Failover wird nicht unterstützt (aus den genannten Gründen). Nach dem Verlust eines Clusterknotens kann ein unterbrochener Workflow wieder aufgenommen werden, wenn ein neuer Knoten mit derselben Workflow-Engine-ID wie der des ausgefallenen Knotens online gestellt wird. (In diesem Fall wird der unterbrochene Workflow nach dem Start der neuen Workflow-Engine automatisch wieder aufgenommen.)

In Schnitt 2.4, Cluster-Gruppierung werden diese Themen ausführlicher behandelt.

2.1.3 Beschränkungen bei der Konfiguration

Insbesondere sollte man die zwei wichtigsten Beschränkungen bei der Architektur beachten:

  • Keine Benutzeranwendung kann mehr als einen Benutzercontainer bedienen (z. B. Suche/Abfrage, Hinzufügen von Benutzern). Sobald ein Benutzercontainer mit der Anwendung verknüpft wurde, sollte diese Verknüpfung außerdem dauerhaft sein.
  • Es ist nicht möglich, einen Benutzeranwendungstreiber mit mehr als einer Benutzeranwendung zu verknüpfen, es sei denn, die Benutzeranwendungen sind auf gleichgeordneten Knoten desselben JBoss-Clusters installiert. In anderen Worten, die Zuordnung eines Treibers für mehrere Benutzeranwendungen wird nicht unterstützt.

Die erste Beschränkung erzwingt einen hohen Grad an Kapselung bei der Einrichtung von Benutzeranwendungen.

Angenommen, Sie verfügen über die folgende organisatorische Struktur:

Beschreibung: Beschreibung: Abbildung

Bei der Installation der Benutzeranwendung werden Sie aufgefordert, den Benutzercontainer der obersten Ebene festzulegen, nach dem die Installation im Identitätsdepot sucht. In diesem Fall könnten Sie ou=Marketing,o=ACME oder (alternativ) ou=Finance,o=ACME festlegen. Sie können nicht beides festlegen. Alle Suchvorgänge und Abfragen (und Anmeldungen des Administrators) der Benutzeranwendung beziehen sich auf den von Ihnen angegebenen Container.

HINWEIS:Theoretisch würde eine Festlegung des Bereichs o=ACME auch die Container „Marketing“ und „Finance“ umfassen. In einer großen Organisation mit potentiell vielen ou-Containern (anstelle von nur zwei Containern für Marketing und Finance) ist dies allerdings möglicherweise nicht praktikabel.

Es ist natürlich möglich, von der Benutzeranwendung zwei unabhängige Installationen zu erstellen (ohne gemeinsame Ressourcen): eine für Marketing und eine andere für Finance. Jede Installation verfügt in diesem Fall über eine eigene Datenbank sowie einen eigenen, entsprechend konfigurierten Benutzeranwendungstreiber und jede Benutzeranwendung wird, möglicherweise mit eigenen Motiven, separat verwaltet.

Wenn es erforderlich ist, „Marketing“ und „Finance“ im Rahmen einer Installation einer Benutzeranwendung in denselben Bereich zu stellen, kann dies auf zwei Arten geschehen. Eine Möglichkeit besteht darin, in der Hierarchie oberhalb der beiden gleichgeordneten Knoten ein neues Containerobjekt (z. B. ou=MarketingAndFinance) einzufügen und dann auf den neuen Container als übergeordneten Bereich zu verweisen. Eine andere Möglichkeit besteht darin, eine gefilterte Reproduktion (eine spezielle Art der eDirectory-Baumstruktur) zu erstellen, die die benötigten Teile der Original-ACME-Baumstruktur zusammensetzt, und die Benutzeranwendung auf den übergeordneten Container der Reproduktion zu verweisen. (Weitere Informationen zu gefilterten Reproduktionen finden Sie im Novell eDirectory-Administrationshandbuch.)

Wenden Sie sich an Ihre Novell-Vertretung, wenn Sie Fragen zu einem bestimmten Systemlayout haben.