5.6 Installation der Benutzeranwendung auf einem WebSphere-Anwendungsserver

In diesem Abschnitt wird die Installation der IDM-Benutzeranwendung auf einem WebSphere-Anwendungsserver über die grafische Benutzeroberfläche des Installationsprogramms erläutert.

5.6.1 Starten der GUI des Installationsprogramms

  1. Rufen Sie das Verzeichnis mit den Installationsdateien auf.

  2. Starten Sie das Installationsprogramm:

    java -jar IdmUserApp.jar

  3. Wählen Sie im Dropdown-Menü eine Sprache aus und klicken Sie anschließend auf OK.

  4. Lesen Sie die Lizenzvereinbarung, klicken Sie zur Bestätigung auf die entsprechende Schaltfläche und klicken Sie anschließend auf Weiter.

  5. Lesen Sie die Einführungsseite des Installationsassistenten und klicken Sie anschließend auf Weiter.

  6. Fahren Sie mit Abschnitt 5.6.2, Auswahl einer Anwendungsserver-Plattform fort.

5.6.2 Auswahl einer Anwendungsserver-Plattform

  1. Wählen Sie im Fenster zur Auswahl einer Anwendungsserver-Plattform die WebSphere-Anwendungsserver-Plattform aus.

  2. Wählen Sie Weiter. Fahren Sie dann mit Abschnitt 5.6.3, Angabe des Speicherorts der WAR-Datei fort.

5.6.3 Angabe des Speicherorts der WAR-Datei

Wenn sich die WAR-Datei der Identity Manager-Benutzeranwendung nicht im selben Verzeichnis befindet wie das Installationsprogramm, werden Sie aufgefordert, den Pfad zur WAR-Datei einzugeben.

  1. Wenn sich die WAR-Datei am Standardspeicherort befindet, können Sie auf Standard wiederherstellen klicken.

    Sie können stattdessen auch auf die Schaltfläche zum Auswählen klicken und einen Speicherort auswählen, um den Speicherort der WAR-Datei anzugeben.

  2. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.4, Auswahl eines Installationsordners fort.

5.6.4 Auswahl eines Installationsordners

  1. Geben Sie auf der Seite „Installationsordner auswählen“ die Stelle an, an der die Benutzeranwendung installiert werden soll. Wenn Sie den Standardspeicherort verwenden möchten, klicken Sie auf Standard wiederherstellen, oder klicken Sie auf die Schaltfläche zum Auswählen, um einen anderen Speicherort für die Installationsdateien auszuwählen.

  2. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.5, Auswahl einer Datenbankplattform fort.

5.6.5 Auswahl einer Datenbankplattform

  1. Wählen Sie die gewünschte Datenbank aus.

  2. Wenn Sie eine Oracle-Datenbank verwenden, fahren Sie mit Schritt 3 fort. Fahren Sie anderenfalls mit Schritt 4 fort.

  3. Bei Verwendung einer Oracle-Datenbank fragt Sie das Installationsprogramm nach deren Version. Wählen Sie die entsprechende Version aus.

  4. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.6, Angabe des Java-Stammordners fort.

5.6.6 Angabe des Java-Stammordners

HINWEIS:Mit WebSphere müssen Sie das IBM JDK mit den unbeschränkten Richtliniendateien verwenden.

  1. Klicken Sie zum Wechseln in den Java-Stammordner auf die Schaltfläche zum Auswählen. Wenn Sie den Standardspeicherort verwenden möchten, klicken Sie auf Standard wiederherstellen.

  2. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.7, Aktivieren der Novell Audit-Protokollierung fort.

5.6.7 Aktivieren der Novell Audit-Protokollierung

So aktivieren Sie die Novell Audit-Protokollierung (optional) für die Benutzeranwendung:

  1. Füllen Sie die folgenden Felder aus:

    Option

    Beschreibung

    Aus

    Deaktiviert die Novell Audit-Protokollierung für die Benutzeranwendung. Sie können sie zu einem späteren Zeitpunkt in der Benutzeranwendung über die Registerkarte Administration aktivieren.

    Weitere Informationen zur Aktivierung der Novell Audit-Protokollierung finden Sie im Identity Manager-Benutzeranwendung: Administrationshandbuch.

    Ein

    Aktiviert die Novell Audit-Protokollierung für die Benutzeranwendung.

    Weitere Informationen zum Einrichten der Novell Audit-Protokollierung finden Sie im Identity Manager-Benutzeranwendung: Administrationshandbuch.

    Server

    Wenn Sie die Novell Audit-Protokollierung aktivieren, geben Sie den Hostnamen oder die IP-Adresse des Novell Audit-Servers an. Wenn Sie die Protokollierung deaktivieren, wird dieser Wert ignoriert.

    Ordner für Protokoll-Cache

    Geben Sie das Verzeichnis für den Protokoll-Cache an.

  2. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.8, Angabe eines Master-Schlüssels fort.

5.6.8 Angabe eines Master-Schlüssels

Geben Sie an, ob Sie einen vorhandenen Master-Schlüssel importieren oder einen neuen erstellen möchten. Mögliche Gründe für den Import eines vorhandenen Master-Schlüssels:

  • Sie verlagern Ihre Installation aus einem Staging-System in ein Produktionssystem und möchten auch weiterhin auf die Datenbank des Staging-Systems zugreifen.

  • Sie haben die Benutzeranwendung als erstes Mitglied eines Clusters installiert und führen nun die Installation auf nachfolgenden Cluster-Mitgliedern durch (für die derselbe Master-Schlüssel benötigt wird).

  • Bedingt durch einen Festplattenfehler müssen Sie die Benutzeranwendung wiederherstellen. Sie müssen die Benutzeranwendung neu installieren und den Master-Schlüssel der vorherigen Installation angeben. Auf diese Weise erhalten Sie Zugriff auf zuvor gespeicherte verschlüsselte Daten.

  1. Klicken Sie auf Ja, um einen vorhandenen Master-Schlüssel zu importieren, oder auf Nein, um einen neuen Master-Schlüssel zu erstellen.

  2. Klicken Sie auf Weiter.

    Bei der Installation wird der verschlüsselte Master-Schlüssel im Installationsverzeichnis in die Datei master-key.txt geschrieben.

    Wenn Sie Nein gewählt haben, fahren Sie mit Abschnitt 5.6.9, Konfiguration der Benutzeranwendung fort. Nach Abschluss der Installation müssen Sie den Master-Schlüssel manuell speichern. Wenn Sie Ja gewählt haben, fahren Sie mit Schritt 3 fort.

  3. Wenn ein vorhandener verschlüsselter Master-Schlüssel importiert werden soll, kopieren Sie den Schlüssel und fügen Sie ihn in das Fenster des Installationsvorgangs ein.

  4. Klicken Sie auf Weiter und fahren Sie mit Abschnitt 5.6.9, Konfiguration der Benutzeranwendung fort.

5.6.9 Konfiguration der Benutzeranwendung

Bei der Installation der Benutzeranwendung können Sie Konfigurationsparameter für die Benutzeranwendung festlegen. Die meisten dieser Parameter können auch nach der Installation in der Datei configupdate.sh oder configupdate.bat bearbeitet werden. Auf Ausnahmen wird in den Parameterbeschreibungen hingewiesen. In einer Clusterkonfiguration müssen für alle Cluster-Mitglieder dieselben Konfigurationsparameter für die Benutzeranwendung angegeben werden.

  1. Klicken Sie auf der ersten Seite zur Konfiguration der Benutzeranwendung auf Weiter.

  2. Geben Sie die wichtigsten Konfigurationsparameter für die Benutzeranwendung wie in Tabelle 5-6 beschrieben an und fahren Sie dann mit Schritt 3 fort.

    Tabelle 5-6 Konfiguration der Benutzeranwendung: Wichtigste Parameter

    Einstellungstyp

    Feld

    Beschreibung

    eDirectory-Verbindungseinstellungen

    LDAP-Host

    Erforderlich. Geben Sie den Hostnamen oder die IP-Adresse sowie den sicheren Port des LDAP-Servers an. Beispiel: 

    myLDAPhost

    Nicht sicherer LDAP-Port

    Geben Sie den nicht sicheren Port des LDAP-Servers an. Beispiel: 389.

    Sicherer LDAP-Port

    Geben Sie den sicheren Port des LDAP-Servers an. Beispiel: 636.

    LDAP-Administrator

    Erforderlich. Geben Sie die Berechtigungsnachweise für den LDAP-Administrator an. Dieser Benutzer muss bereits vorhanden sein. Die Benutzeranwendung verwendet dieses Konto für eine administrative Verbindung zum Identitätsdepot. Dieser Wert ist mit dem Master-Schlüssel verschlüsselt.

    LDAP-Administratorpasswort

    Erforderlich. Geben Sie das LDAP-Administratorpasswort an. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

    Öffentliches anonymes Konto verwenden

    Ermöglicht nicht angemeldeten Benutzern den Zugriff auf das öffentliche anonyme LDAP-Konto.

    LDAP-Gast

    Ermöglicht nicht angemeldeten Benutzern den Zugriff auf zulässige Portlets. Dieses Benutzerkonto muss bereits im Identitätsdepot vorhanden sein. Deaktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu aktivieren. Aktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu deaktivieren.

    LDAP-Gastpasswort

    Geben Sie das LDAP-Gastpasswort an.

    Sichere Admin-Verbindung

    Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Admin-Konto über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung beeinträchtigen).

    Sichere Benutzerverbindung

    Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Konto des angemeldeten Benutzers über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung beeinträchtigen).

    eDirectory-DNs

    Stammcontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen des Stammcontainers an. Diese Angabe wird als Standard-Suchstamm der Entitätsdefinition verwendet, sofern in der Verzeichnisabstraktionsschicht kein Suchstamm angegeben wurde.

    Bereitstellungstreiber-DN

    Erforderlich. Geben Sie den eindeutigen Namen für den Benutzeranwendungstreiber an. Wenn Ihr Treiber beispielsweise „myDriverSet“ und der Treibersatz „myDriverSet“ ist und sich der Treibersatz in einem Kontext „o=myDriverSet“ befindet, geben Sie folgenden Wert ein:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

    Benutzeranwendung - Administrator

    Erforderlich. Ein vorhandener Benutzer im Identitätsdepot mit den Rechten zum Ausführen von administrativen Tätigkeiten für den in der Benutzeranwendung angegebenen Benutzercontainer. Dieser Benutzer hat die Möglichkeit, über die Registerkarte Administration der Benutzeranwendung das Portal zu verwalten.

    Wenn der Benutzeranwendungsadministrator in iManager, Novell Designer für Identity Manager oder der Benutzeranwendung (Registerkarte Anforderungen und Genehmigungen) freigelegte Aufgaben zur Workflow-Administration bearbeitet, müssen Sie dem entsprechenden Administrator ausreichende Trustee-Rechte auf Objektinstanzen gewähren, die im Benutzeranwendungstreiber enthalten sind. Weitere Informationen finden Sie im Administrationshandbuch zur IDM-Benutzeranwendung.

    Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten Administration > Sicherheit der Benutzeranwendung geändert werden.

    Bereitstellungsanwendung - Administrator

    Diese Funktion ist in der Bereitstellungsversion von Identity Manager 3.5.1 verfügbar. Der Administrator für die Bereitstellungsanwendung kann die Funktionen des Bereitstellungs-Workflows über die Registerkarte Bereitstellung (in der Registerkarte Administration) verwalten. Auf diese Funktionen können die Benutzer über die Registerkarte Anforderungen und Genehmigungen der Benutzeranwendung zugreifen. Dieser Benutzer muss im Identitätsdepot vorhanden sein, bevor ihm die Rolle des Administrators für die Bereitstellungsanwendung zugewiesen werden kann.

    Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten Administration > Sicherheit der Benutzeranwendung geändert werden.

    eDirectory-DNs (Fortsetzung)

    Benutzercontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Benutzercontainers an. Diese Angabe definiert den Suchbereich für Benutzer und Gruppen. Benutzer in diesem Container (und unterhalb) dürfen sich bei der Benutzeranwendung anmelden.

    WICHTIG:Stellen Sie sicher, dass der bei der Installation des Benutzeranwendungstreibers angegebene Benutzeranwendungsadministrator in diesem Container vorhanden ist, wenn dieser Benutzer Workflows ausführen soll.

    Gruppencontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Gruppencontainers an.

    Wird von Entitätsdefinitionen innerhalb der Verzeichnisabstraktionsschicht verwendet.

    eDirectory-Zertifikate

    Keystore-Pfad

    Erforderlich. Geben Sie den vollständigen Pfad zur Keystore-Datei (cacerts) des JDK an, die der Anwendungsserver für die Ausführung verwendet, oder klicken Sie auf die kleine Browser-Schaltfläche und navigieren Sie zur cacerts-Datei.

    Unter Linux oder Solaris benötigt der Benutzer eine entsprechende Berechtigung zum Schreiben in diese Datei.

    Keystore-Passwort/Keystore-Passwort bestätigen

    Erforderlich. Geben Sie das cacerts-Passwort an. Die Vorgabe ist changeit.

    Email

    Benachrichtigungsschablonen-Host-Token

    Geben Sie den Anwendungsserver an, der die Identity Manager-Benutzeranwendung hostet. Beispiel:

    myapplication serverServer

    Dieser Wert ersetzt das $HOST$-Token in Email-Schablonen. Die erstellte URL ist eine Verknüpfung zu Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen.

    Benachrichtigungsschablonen-Port-Token

    Ersetzt das $PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungsaufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Token für den sicheren Port der Benachrichtigungsschablone

    Ersetzt das $SECURE_PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Benachrichtigungs-SMTP-Email-Von:

    Geben Sie an, dass die Email vom Benutzer in der Bereitstellungs-Email stammt.

    Benachrichtigungs-SMTP-Email-Host:

    Geben Sie den SMTP-Email-Host für die Bereitstellungs-Email an. Dies kann eine IP-Adresse oder ein DNS-Name sein.

    Passwortverwaltung

    Externe WAR-Datei für Passwort verwenden

    Mithilfe dieser Funktion können Sie eine Seite „Passwort vergessen“ in einer externen WAR-Datei „Passwort vergessen“ sowie eine URL angeben, die die externe WAR-Datei „Passwort vergessen“ für den Rückruf der Benutzeranwendung über einen Webservice verwendet.

    Wenn Externe WAR-Datei für Passwort verwenden aktiviert ist, müssen auch Werte für 'Passwort vergessen'-Link und Link zurück zu 'Passwort vergessen' angegeben werden.

    Wenn Externe WAR-Datei für Passwort verwenden nicht aktiviert ist, verwendet IDM die interne Standardfunktion zur Passwortverwaltung. /jsps/pwdmgt/ForgotPassword.jsf (ohne http(s) am Anfang) zu verwenden. Hierdurch wird der Benutzer nicht zu einer externen WAR-Datei, sondern zur in der Benutzeranwendung integrierten Funktionalität „Passwort vergessen“ umgeleitet.

    'Passwort vergessen'-Link

    Diese URL verweist auf die Funktionsseite „Passwort vergessen“. Erstellen Sie in einer externen oder in einer internen WAR-Datei für die Passwortverwaltung eine Datei namens ForgotPassword.jsf.

    Link zurück zu 'Passwort vergessen'

    Bei Verwendung einer externen WAR-Datei für die Passwortverwaltung müssen Sie den Pfad angeben, den diese WAR-Datei für den Rückruf der Benutzeranwendung über die Web-Services verwendet. Beispiel: https:// idmhost:sslport/idm.

  3. Klicken Sie zum Festlegen zusätzlicher Konfigurationsparameter für die Benutzeranwendung auf Erweiterte Optionen anzeigen. (Blättern Sie durch die Optionen, um das gesamte Teilfenster anzuzeigen.) In Tabelle Tabelle 5-7 werden die Parameter der erweiterten Optionen erläutert. Wenn Sie in diesem Schritt keine der beschriebenen zusätzlichen Parameter festlegen möchten, fahren Sie mit Schritt 4 fort.

    Tabelle 5-7 Konfiguration der Benutzeranwendung: Alle Parameter

    Einstellungstyp

    Feld

    Beschreibung

    eDirectory-Verbindungseinstellungen

    LDAP-Host

    Erforderlich. Geben Sie den Hostnamen oder die IP-Adresse des LDAP-Servers an. Beispiel:

    myLDAPhost

    Nicht sicherer LDAP-Port

    Geben Sie den nicht sicheren Port des LDAP-Servers an. Beispiel: 389.

    Sicherer LDAP-Port

    Geben Sie den sicheren Port des LDAP-Servers an. Beispiel: 636.

    LDAP-Administrator

    Erforderlich. Geben Sie die Berechtigungsnachweise für den LDAP-Administrator an. Dieser Benutzer muss bereits vorhanden sein. Die Benutzeranwendung verwendet dieses Konto für eine administrative Verbindung zum Identitätsdepot. Dieser Wert ist mit dem Master-Schlüssel verschlüsselt.

    LDAP-Administratorpasswort

    Erforderlich. Geben Sie das LDAP-Administratorpasswort an. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

    Öffentliches anonymes Konto verwenden

    Ermöglicht nicht angemeldeten Benutzern den Zugriff auf das öffentliche anonyme LDAP-Konto.

    LDAP-Gast

    Ermöglicht nicht angemeldeten Benutzern den Zugriff auf zulässige Portlets. Dieses Benutzerkonto muss bereits im Identitätsdepot vorhanden sein. Deaktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu aktivieren. Aktivieren Sie das Kontrollkästchen Öffentliches anonymes Konto verwenden, um „LDAP-Gast“ zu deaktivieren.

    LDAP-Gastpasswort

    Geben Sie das LDAP-Gastpasswort an.

    Sichere Admin-Verbindung

    Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Admin-Konto über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung beeinträchtigen).

    Sichere Benutzerverbindung

    Wählen Sie diese Option aus, wenn die gesamte Kommunikation über das Konto des angemeldeten Benutzers über eine SSL-Verbindung erfolgen muss (diese Option kann die Leistung stark beeinträchtigen).

    eDirectory-DNs

    Stammcontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen des Stammcontainers an. Diese Angabe wird als Standard-Suchstamm der Entitätsdefinition verwendet, sofern in der Verzeichnisabstraktionsschicht kein Suchstamm angegeben wurde.

    Bereitstellungstreiber-DN

    Erforderlich. Geben Sie den eindeutigen Namen für den Benutzeranwendungstreiber an. Wenn Ihr Treiber beispielsweise „UserApplicationDriver“ und der Treibersatz „myDriverSet“ ist und sich der Treibersatz in einem Kontext „o=myCompany“ befindet, geben Sie folgenden Wert ein:

    cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

    Benutzeranwendung - Administrator

    Erforderlich. Ein vorhandener Benutzer im Identitätsdepot mit den Rechten zum Ausführen von administrativen Tätigkeiten für den in der Benutzeranwendung angegebenen Benutzercontainer. Dieser Benutzer hat die Möglichkeit, über die Registerkarte Administration der Benutzeranwendung das Portal zu verwalten.

    Wenn der Benutzeranwendungsadministrator in iManager, Novell Designer für Identity Manager oder der Benutzeranwendung (Registerkarte Anforderungen und Genehmigungen) freigelegte Aufgaben zur Workflow-Administration bearbeitet, müssen Sie dem entsprechenden Administrator ausreichende Trustee-Rechte auf Objektinstanzen gewähren, die im Benutzeranwendungstreiber enthalten sind. Weitere Informationen finden Sie im Administrationshandbuch zur IDM-Benutzeranwendung.

    Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten Administration > Sicherheit der Benutzeranwendung geändert werden.

    Bereitstellungsanwendung - Administrator

    Diese Funktion ist in der Bereitstellungsversion von Identity Manager 3.5.1 verfügbar. Der Administrator der Bereitstellungsanwendung verwaltet die Funktionen des Bereitstellungs-Workflows, die über die Registerkarte Anforderungen und Genehmigungen der Benutzeranwendung verfügbar sind. Dieser Benutzer muss im Identitätsdepot vorhanden sein, bevor ihm die Rolle des Administrators für die Bereitstellungsanwendung zugewiesen werden kann.

    Diese Zuweisung kann nach dem Bereitstellen der Benutzeranwendung über die Seiten Administration > Sicherheit der Benutzeranwendung geändert werden.

    Benutzeridentität für Metaverzeichnis

    Benutzercontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Benutzercontainers an.

    Diese Angabe definiert den Suchbereich für Benutzer und Gruppen.

    Benutzer in diesem Container (und unterhalb) dürfen sich bei der Benutzeranwendung anmelden.

    WICHTIG:Stellen Sie sicher, dass der bei der Installation des Benutzeranwendungstreibers angegebene Benutzeranwendungsadministrator in diesem Container vorhanden ist, wenn dieser Benutzer Workflows ausführen soll.

    Benutzerobjektklasse

    Die LDAP-Benutzerobjektklasse (in der Regel inetOrgPerson).

    Anmeldeattribut

    Das LDAP-Attribut (z. B. CN), das den Anmeldenamen des Benutzers repräsentiert.

    Benennungsattribut

    Das als ID verwendete LDAP-Attribut beim Nachschlagen von Benutzern oder Gruppen. Dieses Attribut ist nicht identisch mit dem Anmeldeattribut, das nur für die Anmeldung, nicht aber bei der Suche nach Benutzern oder Gruppen verwendet wird.

    Benutzermitgliedschaftsattribut

    Optional. Das LDAP-Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten.

    Benutzergruppen für Metaverzeichnis

    Gruppencontainer-DN

    Erforderlich. Geben Sie den eindeutigen LDAP-Namen (DN) oder den vollständig qualifizierten Namen des Gruppencontainers an. Wird von Entitätsdefinitionen innerhalb der Verzeichnisabstraktionsschicht verwendet.

    Gruppenobjektklasse

    Die Objektklasse für die LDAP-Gruppen (in der Regel groupofNames).

    Gruppenmitgliedschaftsattribut

    Das Attribut, das die Gruppenmitgliedschaft des Benutzers repräsentiert. Der Name darf keine Leerzeichen enthalten.

    Dynamische Gruppen verwenden

    Wählen Sie diese Option, wenn Sie dynamische Gruppen verwenden möchten.

    Klasse für dynamisches Gruppenobjekt

    Die Objektklasse für die dynamische Gruppe (in der Regel dynamicGroup).

    eDirectory-Zertifikate

    Keystore-Pfad

    Erforderlich. Geben Sie den vollständigen Pfad zur Keystore-Datei (cacerts) der JRE an, die der Anwendungsserver für die Ausführung verwendet, oder klicken Sie auf die kleine Browser-Schaltfläche und navigieren Sie zur cacerts-Datei.

    Während der Installation der Benutzeranwendung wird die Keystore-Datei geändert. Unter Linux oder Solaris benötigt der Benutzer eine entsprechende Berechtigung zum Schreiben in diese Datei.

    Keystore-Passwort

    Keystore-Passwort bestätigen

    Erforderlich. Geben Sie das cacerts-Passwort an. Die Vorgabe ist changeit.

    Speicher für privaten Schlüssel

    Pfad für privaten Keystore

    Der private Keystore enthält den privaten Schlüssel und die Zertifikate der Benutzeranwendung. Reserviert. Wenn Sie keine Eingabe vornehmen, lautet der Standardpfad /jre/lib/security/cacerts.

    Passwort für privaten Keystore

    Das Passwort lautet changeit, sofern Sie kein anderes Passwort festgelegt haben. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

    Alias für privaten Schlüssel

    Dieser Alias lautet novellIDMUserApp, sofern Sie keinen anderen Namen festgelegt haben.

    Passwort für privaten Schlüssel

    Das Passwort lautet nove1lIDM, sofern Sie kein anderes Passwort festgelegt haben. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

    Speicher für Herkunftsverbürgungsschlüssel

    Pfad für Herkunftsverbürgungsspeicher

    Der Speicher für Herkunftsverbürgungsschlüssel enthält alle verbürgten Zertifikate der Signierer, die zum Validieren digitaler Signaturen verwendet werden. Wurde kein Pfad angegeben, ruft die Benutzeranwendung den Pfad von der Systemeigenschaft javax.net.ssl.trustStore ab. Wurde kein Pfad angegeben, wird jre/lib/security/cacerts verwendet.

    Passwort für Herkunftsverbürgungsspeicher

    Wurde kein Passwort angegeben, ruft die Benutzeranwendung das Passwort von der Systemeigenschaft javax.net.ssl.trustStorePassword ab. Ist dort kein Wert angegeben, lautet das Passwort changeit. Dieses Passwort ist mit dem Master-Schlüssel verschlüsselt.

    Novell Audit-Digitalsignatur-Zertifikat und Schlüssel

     

    Enthält das Novell Audit-Digitalsignatur-Zertifikat und den Schlüssel.

     

    Novell Audit-Digitalsignatur-Zertifikat

    Zeigt das Digitalsignatur-Zertifikat an.

     

    Privater Schlüssel für Novell Audit-Digitalsignatur

    Zeigt den privaten Schlüssel für die Digitalsignatur an. Dieser Schlüssel ist mit dem Master-Schlüssel verschlüsselt.

    iChain-Einstellungen

    ICS-Abmeldung aktiviert

    Bei Auswahl dieser Option unterstützt die Benutzeranwendung die gleichzeitige Abmeldung von der Benutzeranwendung und iChain bzw. Novell Access Manager. Bei der Abmeldung leitet die Benutzeranwendung den Benutzer bei Vorhandensein des iChain- oder Novell Access Manager-Cookies zur ICS-Abmeldungsseite um.

    ICS-Abmeldungsseite

    Die URL zur iChain- oder Novell Access Manager-Abmeldungsseite, wobei die URL ein von iChain oder Novell Access Manager erwarteter Hostname ist. Wenn die ICS-Protokollierung aktiviert ist und sich ein Benutzer von der Benutzeranwendung abmeldet, wird der Benutzer auf diese Seite umgeleitet.

    Email

    Benachrichtigungsschablonen-Host-Token

    Geben Sie den Anwendungsserver an, der die Identity Manager-Benutzeranwendung hostet. Beispiel:

    myapplication serverServer

    Dieser Wert ersetzt das $HOST$-Token in Email-Schablonen. Die erstellte URL ist eine Verknüpfung zu Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen.

    Benachrichtigungsschablonen-Port-Token

    Ersetzt das $PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungsaufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Token für den sicheren Port der Benachrichtigungsschablone

    Ersetzt das $SECURE_PORT$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Benachrichtigungsschablonen-Protokoll-Token

    Bezieht sich auf ein nicht sicheres Protokoll, HTTP. Ersetzt das $PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Token für das sichere Protokoll der Benachrichtigungsschablone

    Bezieht sich auf ein sicheres Protokoll, HTTPS. Ersetzt das $SECURE_PROTOCOL$-Token in Email-Schablonen, die für Bereitstellungsanforderungs-Aufgaben und Benachrichtigungen über Bereitstellungsgenehmigungen verwendet werden.

    Benachrichtigungs-SMTP-Email-Von:

    Geben Sie Emails an, die von einem Benutzer in der Bereitstellungs-Email stammen.

    Benachrichtigungs-SMTP-Email-Host:

    Geben Sie den SMTP-Email-Host für die Bereitstellungs-Email an. Dies kann eine IP-Adresse oder ein DNS-Name sein.

    Passwortverwaltung

     

     

    Externe WAR-Datei für Passwort verwenden

    Mithilfe dieser Funktion können Sie eine Seite „Passwort vergessen“ in einer externen WAR-Datei „Passwort vergessen“ sowie eine URL angeben, die die externe WAR-Datei „Passwort vergessen“ für den Rückruf der Benutzeranwendung über einen Webservice verwendet.

    Wenn Externe WAR-Datei für Passwort verwenden aktiviert ist, müssen auch Werte für 'Passwort vergessen'-Link und Link zurück zu 'Passwort vergessen' angegeben werden.

    Wenn Externe WAR-Datei für Passwort verwenden nicht aktiviert ist, verwendet IDM die interne Standardfunktion zur Passwortverwaltung. /jsps/pwdmgt/ForgotPassword.jsf (ohne http(s) am Anfang) zu verwenden. Hierdurch wird der Benutzer nicht zu einer externen WAR-Datei, sondern zur in der Benutzeranwendung integrierten Funktionalität „Passwort vergessen“ umgeleitet.

    'Passwort vergessen'-Link

    Diese URL verweist auf die Funktionsseite „Passwort vergessen“. Erstellen Sie in einer externen oder in einer internen WAR-Datei für die Passwortverwaltung eine Datei namens ForgotPassword.jsf.

     

    Link zurück zu 'Passwort vergessen'

    Bei Verwendung einer externen WAR-Datei für die Passwortverwaltung müssen Sie den Pfad angeben, den diese WAR-Datei für den Rückruf der Benutzeranwendung über die Web-Services verwendet. Beispiel: https:// idmhost:sslport/idm.

    Sonstige

    Sitzungszeitüberschreitung

    Die Sitzungszeitüberschreitung der Anwendung.

    OCSP-URI

    Wenn für die Client-Installation das OSCP (On-Line Certificate Status Protocol) verwendet wird, stellen Sie eine URI (Uniform Resource Identifier) bereit. Beispiel für das Format: http://host:port/ocspLocal. Die OCSP-URI aktualisiert den Status der verbürgten Zertifikate online.

    Konfigurationspfad für Autorisierung

    Vollständig qualifizierter Name der Konfigurationsdatei für die Autorisierung.

     

    eDirectory-Index erstellen

     

     

    Server-DN

     

    Containerobjekt

    Ausgewählt

    Wählen Sie alle zu verwendenden Containerobjekttypen aus.

    Containerobjekttyp

    Wählen Sie die Typen aus den folgenden Standard-Containern aus: Standort-, Länder-, Organisationseinheits-, Organisations- und Domänenobjekte. Sie können in iManager auch eigene Container erstellen und mithilfe der Option Neues Containerobjekt hinzufügen hinzufügen.

    Containerattributname

    Listet den mit dem Containerobjekttyp verknüpften Attributnamen auf.

    Neues Containerobjekt hinzufügen: Containerobjekttyp

    Geben Sie den LDAP-Namen einer Objektklasse aus dem Identitätsdepot an, die als Container dienen kann.

    Weitere Informationen zu Containern finden Sie im Administrationshandbuch zu Novell iManager 2.6.

    Neues Containerobjekt hinzufügen: Containerattributname

    Geben Sie den Attributnamen des Containerobjekts an.

  4. Klicken Sie nach der Konfiguration dieser Einstellungen auf OK und fahren Sie anschließend mit Abschnitt 5.6.10, Prüfen der Auswahl und Installation fort.

5.6.10 Prüfen der Auswahl und Installation

  1. Überprüfen Sie auf der Seite „Zusammenfassung vor der Installation“ die Einstellungen der Installationsparameter.

  2. Wenn Sie Änderungen vornehmen möchten, können Sie über die Schaltfläche Zurück vorherige Installationsseiten aufrufen.

    Die Werte auf der Seite „Benutzeranwendung - Konfiguration“ werden nicht gespeichert, daher müssen Sie die Einstellungen auf dieser Seite erneut vornehmen, wenn Sie vorherige Seiten des Installationsvorgangs ändern.

  3. Wenn Sie die gewünschten Änderungen an den Installations- und Konfigurationsparametern vorgenommen haben, kehren Sie zur Seite „Zusammenfassung vor der Installation“ zurück und klicken Sie auf Installieren. Fahren Sie mit Abschnitt 5.6.11, Anzeigen der Protokolldateien fort.

5.6.11 Anzeigen der Protokolldateien

Wenn die Installation ohne Fehler abgeschlossen wurde, fahren Sie mit Abschnitt 5.6.12, Hinzufügen von Benutzeranwendungs-Konfigurationsdateien und JVM-Systemeigenschaften fort.

Sofern bei der Installation Fehler- oder Warnmeldungen ausgegeben wurden, ermitteln Sie die Probleme anhand der Protokolldateien:

  • Die Datei Identity_Manager_User_Application_InstallLog.log enthält die Ergebnisse der wichtigsten Installationsaufgaben.

  • Die Datei Novell-Custom-Install.log enthält Informationen zur Konfiguration der Benutzeranwendung, die während der Installation vorgenommen wurde.

5.6.12 Hinzufügen von Benutzeranwendungs-Konfigurationsdateien und JVM-Systemeigenschaften

  1. Kopieren Sie die Datei sys-configuration-xmldata.xml aus dem Installationsverzeichnis der Benutzeranwendung in ein Verzeichnis auf dem Computer, der den WebSphere-Server hostet, beispielsweise /UserAppConfigFiles. Das Installationsverzeichnis der Benutzeranwendung ist das Verzeichnis, in dem Sie die Benutzeranwendung installiert haben.

  2. Geben Sie den Pfad zur Datei sys-configuration-xmldata.xml in den JVM-Systemeigenschaften an. Melden Sie sich dazu als Admin-Benutzer bei der Administrationskonsole von WebSphere an.

  3. Rufen Sie in der linken Kontrollleiste Server > Anwendungsserver auf.

  4. Klicken Sie in der Serverliste auf den Servernamen, z. B. „server1“.

  5. Rufen Sie in der Liste der Einstellungen auf der rechten Seite unter Server Infrastructure die Option Java and Process Management auf.

  6. Erweitern Sie den Link und wählen Sie Process Definition.

  7. Wählen Sie aus der Liste von zusätzlichen Eigenschaften die Option Java Virtual Machine.

  8. Wählen Sie unter der Überschrift Additional Properties für die JVM-Seite die Option Custom Properties.

  9. Klicken Sie auf New, um eine neue JVM-Systemeigenschaft hinzuzufügen.

    1. Geben Sie als Namenextend.local.config.dir an.

    2. Geben Sie als Wert das Verzeichnis an, beispielsweise /UserAppConfigFiles, in das Sie die Datei sys-configuration-xmldata.xml kopiert haben.

    3. Geben Sie als Beschreibung eine Beschreibung für die Eigenschaft an, beispielsweise Pfad zu sys-configuration-xmldata.xml.

    4. Klicken Sie auf OK, um die Eigenschaft zu speichern.

  10. Klicken Sie auf New, um eine weitere neue JVM-Systemeigenschaft hinzuzufügen.

    1. Geben Sie als Namenidmuserapp.logging.config.dir an.

    2. Geben Sie als Wert das Verzeichnis an, beispielsweise /UserAppConfigFiles, in das Sie die Datei sys-configuration-xmldata.xml kopiert haben.

    3. Geben Sie als Beschreibung eine Beschreibung für die Eigenschaft an, beispielsweise Pfad zu sys-configuration-xmldata.xml.

    4. Klicken Sie auf OK, um die Eigenschaft zu speichern.

      HINWEIS:Die Datei idmuserapp-logging.xml muss nicht in diesem Verzeichnis vorhanden sein. Sie wird erstellt, wenn Änderungen an der Protokollierungskonfiguration vorgenommen werden.

  11. Fahren Sie mit dem Abschnitt Abschnitt 5.6.13, Importieren der eDirectory-Herkunftsverbürgung in den WebSphere-Keystore fort.

5.6.13 Importieren der eDirectory-Herkunftsverbürgung in den WebSphere-Keystore

  1. Der Installationsvorgang der Benutzeranwendung exportiert die eDirectory-Herkunftsverbürgungszertifikate in das Verzeichnis, in dem Sie die Benutzeranwendung installieren. Kopieren Sie diese Zertifikate auf den Computer, der den WebSphere-Server hostet.

  2. Importieren Sie die Zertifikate in den WebSphere-Keystore. Sie können dies mithilfe der WebSphere-Administrationskonsole (Zertifikate mit der WebSphere-Administrationskonsole importieren) oder über die Befehlszeile (Zertifikate über die Befehlszeile importieren) tun.

  3. Fahren Sie nach dem Importieren der Zertifikate mit Abschnitt 5.6.14, Bereitstellung der IDM WAR-Datei fort.

Zertifikate mit der WebSphere-Administrationskonsole importieren

  1. Melden Sie sich bei der Administrationskonsole von WebSphere als Admin-Benutzer an.

  2. Rufen Sie in der linken Kontrollleiste Security > SSL Certificate and Key Management auf.

  3. Rufen Sie in der Liste der Einstellungen auf der rechten Seite unter Additional Properties die Option Key stores and certificates auf.

  4. Wählen Sie NodeDefaultTrustStore (oder den Verbürgungsspeicher, den Sie verwenden).

  5. Wählen Sie rechts unter Additional Properties die Option Signer Certificates aus.

  6. Klicken Sie auf Add.

  7. Geben Sie den Aliasnamen und den vollständigen Pfad zur Zertifikatsdatei ein.

  8. Ändern Sie den Datentyp in der Dropdown-Liste in Binary DER data.

  9. Klicken Sie auf OK. Jetzt sollte das Zertifikat in der Liste der Signierzertifikate angezeigt werden.

Zertifikate über die Befehlszeile importieren

  1. Führen Sie in der Befehlszeile auf dem Computer, der den WebSphere-Server hostet, das Keytool aus, um das Zertifikat in den WebSphere-Keystore zu importieren.

    HINWEIS:Sie müssen das WebSphere-Keytool ausführen, damit dies funktioniert. Vergewissern Sie sich außerdem, dass der Store-Typ PKCS12 ist.

    Das WebSphere-Keytool befindet sich unter /IBM/WebSphere/AppServer/java/bin.

Beispiel für einen Keytool-Befehl

keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12

Wenn sich auf Ihrem System mehrere trust.p12-Dateien befinden, müssen Sie ggf. den vollständigen Pfad zu der Datei angeben.

5.6.14 Bereitstellung der IDM WAR-Datei

  1. Melden Sie sich bei der Administrationskonsole von WebSphere als Admin-Benutzer an.

  2. Rufen Sie in der linken Kontrollleiste Applications > Install New Application auf.

  3. Wechseln Sie zum Speicherort der IDM WAR-Datei. (Die IDM WAR-Datei wird während der Installation der Benutzeranwendung konfiguriert. Sie befindet sich im Installationsverzeichnis der Benutzeranwendung, das Sie während der Installation der Benutzeranwendung angegeben haben.)

  4. Geben Sie den Kontextstamm für die Anwendung ein, beispielsweise IDMProv. Dies ist der URL-Pfad.

  5. Stellen Sie sicher, dass die Option Prompt me only when additional information is required ausgewählt ist, und klicken Sie dann auf Next, um zur Seite für die Auswahl der Installationsoptionen zu wechseln.

  6. Übernehmen Sie die Standardeinstellungen für diese Seite und klicken Sie auf Next, um zum Bildschirm Map modules to servers zu wechseln.

  7. Übernehmen Sie die Standardeinstellungen für diese Seite und klicken Sie auf Next, um zur Seite Map resource references to resources zu wechseln.

  8. Wählen Sie für die Authentifizierungsmethode die Option User default method. Wählen Sie dann im Dropdown-Menü Authentication data entry den zuvor erstellten Alias aus, z. B. MeinServerNode01/MeinAlias.

  9. Suchen Sie in der Tabelle unter den Authentifizierungseinstellungen das Modul, das Sie bereitstellen. Klicken Sie unter der Spalte mit der Überschrift Target Resource JNDI Name auf die Schaltfläche zum Durchsuchen, um einen JNDI-Namen anzugeben. Daraufhin sollte eine Liste von Ressourcen angezeigt werden. Wählen Sie die zuvor erstellte Datenquelle aus, z. B. MeineDatenquelle, und klicken Sie auf die Schaltfläche Apply, um zur Seite Map resource references to resources zurückzukehren.

  10. Wählen Sie Next, um zur Seite Map virtual hosts for Web modules zu wechseln.

  11. Übernehmen Sie die Standardeinstellungen für diese Seite und klicken Sie auf Next, um zur Seite Summary zu wechseln.

  12. Klicken Sie auf Finish, um die Bereitstellung abzuschließen.

  13. Klicken Sie nach dem Abschluss der Bereitstellung auf Save, um die Änderungen zu speichern.

  14. Fahren Sie mit Abschnitt 5.6.15, Anwendung starten fort.

5.6.15 Anwendung starten

  1. Melden Sie sich bei der Administrationskonsole von WebSphere als Admin-Benutzer an.

  2. Rufen Sie in der linken Navigationsleiste Applications > Enterprise Applications auf.

  3. Wählen Sie das Kontrollkästchen neben der Anwendung aus, die Sie starten möchten, und klicken Sie anschließend auf Start.

    Nach dem Start wird in der Spalte Application status ein grüner Pfeil angezeigt.

5.6.16 Zugriff auf das Benutzeranwendungsportal

  1. Sie können mithilfe des Kontexts, den Sie während der Bereitstellung festgelegt haben, auf das Portal zugreifen.

    Der Standardport für den Web-Container auf WebSphere ist 9080 bzw. 9443 für den sicheren Port. Die URL hat das folgende Format:

    http://<Server>:9080/IDMProv