3.2 Ausführen des Dienstprogramms „NrfCaseUpdate“

In diesem Abschnitt wird das Dienstprogramm „NrfCaseUpdate“ beschrieben. Es werden u. a. folgende Themen erläutert:

3.2.1 Überblick über NrfCaseUpdate

Die NrfCaseUpdate-Prozedur ist erforderlich, um bei Beachtung der Groß-/Kleinschreibung Suchen nach Rollen und Ressourcen durchzuführen. Diese Prozedur aktualisiert das Schema, indem sie die von den Benutzeranwendungstreibern verwendeten Attribute „nrfLocalizedDescs“ und „nrfLocalizedNames“ ändert. Diese Prozedur muss durchgeführt werden, bevor RBPM 3.7 installiert wird und vorhandene Treiber in Designer 3.5 migriert werden können.

3.2.2 Installationsüberblick

Dieser Abschnitt bietet einen Überblick über die Schritte zum Aufrüsten und Migrieren einer vorhandenen RBPM-Umgebung. Dieser Überblick unterstreicht die Verwendung von Designer 3.5 zum Erstellen von Sicherungskopien der Benutzeranwendungstreiber vor dem Aufrüsten. In diesem Überblick wird auch davon ausgegangen, dass die IDM-Version 3.6 oder höher ist.

  1. Installieren Sie Designer 3.5.

  2. Führen Sie eine Zustandsüberprüfung des Identitätsdepots aus, um sicherzustellen, dass das Schema ordnungsgemäß erweitert wird. Verwenden Sie TID 3564075 zum Durchführen der Zustandsüberprüfung.

  3. Importieren Sie vorhandene Benutzeranwendungstreiber nach Designer 3.5.

  4. Archivieren Sie das Designer-Projekt. Es stellt den Zustand des Treibers vor RBPM 3.7 dar.

  5. Führen Sie den NrfCaseUpdate-Prozess aus.

  6. Erstellen Sie ein neues Designer 3.5-Projekt und importieren Sie den Benutzeranwendungstreiber, um die Migration vorzubereiten.

  7. Installieren Sie RBPM 3.7.

  8. Migrieren Sie den Treiber mithilfe von Designer 3.5.

  9. Stellen Sie den migrierten Treiber bereit.

3.2.3 Wie sich „NrfCaseUpdate“ auf das Schema auswirkt

Wenn das Dienstprogramm „NrfCaseUpdate“ vorhandene Attribute im eDirectory-Schema aktualisiert, werden alle vorhandenen Instanzen dieser Attribute effektiv gelöscht. Benutzeranwendungstreiber verwenden diese Attribute und werden daher von dieser Schema-Aktualisierung betroffen, darunter Namen und Beschreibungen von Rollen und Funktionstrennungen, benutzerdefinierte Beglaubigungsanforderungen and Berichte.

Die NrfCaseUpdate-Prozedur aktualisiert vorhandene Benutzeranwendungstreiber, indem sie ein Dienstprogramm bereitstellt, das vorhandene Benutzeranwendungstreiber in eine LDIF-Datei exportiert, bevor das Schema aktualisiert wird. Durch das Importieren der LDIF-Dateien nach dem Aktualisieren des Schemas können die während des Aktualisierens des Schemas gelöschten Objekte effektiv wiederhergestellt werden.

Es ist wie immer wichtig, dass Sie vorsichtshalber alle vorhandenen Benutzeranwendungstreiber sichern. Denken Sie daran, dass sich Schema-Aktualisierungen auf alle IDM-Partitionen auswirken. Deshalb ist es wichtig, dass Sie „NrfCaseUpdate“ verwenden, um alle Benutzeranwendungstreiber im Baum zu exportieren.

3.2.4 Erstellen einer Sicherungskopie der Benutzeranwendungstreiber

Es wird empfohlen, dass Sie Designer zum Erstellen einer Sicherungskopie Ihrer Benutzeranwendungstreiber verwenden. Sie sollten diese Prozedur zum Sichern Ihrer vorhandenen Benutzeranwendungstreiber durchführen, bevor Sie die NrfCaseUpdate-Prozedur durchführen:

  1. Installieren Sie Designer 3.5 (in RBPM 3.7 enthalten).

  2. Erstellen Sie ein Identitätsdepot und ordnen Sie es dem IDM-Server mit Ihren Benutzeranwendungstreibern zu.

  3. Verwenden Sie zum Importieren Ihres Treibersatzes und der Benutzeranwendungstreiber den Befehl Live->Importieren.

  4. Speichern und archivieren Sie dieses Designer-Projekt.

3.2.5 Verwenden von NrfCaseUpdate

NrfCaseUpdate fordert Sie auf, alle Treiber zu exportieren, und führt anschließend das Aktualisieren des Schemas aus. Fahren Sie nicht fort, wenn Sie nicht sicher sind, ob Benutzeranwendungstreiber vorhanden sind bzw. wo vorhandene Treiber sich befinden, da die Schema-Aktualisierung möglicherweise alle vorhandenen Benutzeranwendungstreiber ungültig macht.

Die JRE, die sich unter dem IDM-Installationsverzeichnis befindet (in der Regel /root/idm/jre), kann zum Ausführen von „NrfCaseUpdate“ verwendet werden. Falls Sie SSL-Verbindungen mit eDirectory benötigen, müssen Sie Ihre JRE für SSL-Verbindungen aktivieren. Befolgen Sie hierzu die Anweisungen unter Abschnitt 3.2.7, Aktivieren der JRE für SSL-Verbindungen.

Alternativ können Sie das Dienstprogramm „NrfCaseUpdate“ remote von einem Host mit einer JRE ausführen, der das eDirectory-Zertifikat enthält, z. B. dem Benutzeranwendungs-Server. In diesem Fall müssen Sie nach dem Exportieren aller Treiber in die LDIF-Datei und vor dem Aktualisieren des Schemas das Dienstprogramm „NrfCaseUpdate“ mit STRG+C beenden. Anschließend können Sie das Schema auf dem eDirectory-Host manuell mit dem Befehl „ndssch“ aktualisieren, wie unten dargestellt:

ndssch -h hostname adminDN update-nrf-case.sch

HINWEIS:Bei „NrfCaseUpdate“ können mehrere Argumente in der Befehlszeile angegeben werden. Geben Sie für weitere Informationen -help oder -? an.

Führen Sie folgende Schritte aus, um „NrfCaseUpdate“ auszuführen:

  1. Stellen Sie sicher, dass eine Zustandsüberprüfung des Identitätsdepots durchgeführt wurde, bevor Sie das NrfCaseUpdate-Dienstprogramm ausführen. Verwenden Sie TID 3564075 zum Durchführen der Zustandsüberprüfung.

  2. Identifizieren Sie alle DNs der vorhandenen Benutzeranwendungstreiber, bevor Sie das Dienstprogramm starten. Sie benötigen einen Berechtigungsnachweis zum Authentifizieren, um diese Treiber in eine LDIF-Datei zu exportieren.

  3. Führen Sie das Dienstprogramm „NrfCaseUpdate“ aus. Sie können auch die Option -v angeben, um eine ausführlichere Ausgabe zu erhalten:

    /root/idm/jre/bin/java -jar NrfCaseUpdate.jar -v

  4. Sie werden gefragt, ob Sie einen vorhandenen Benutzeranwendungstreiber haben. Beantworten Sie die Frage mit "Wahr", wenn Sie einen vorhandenen Benutzeranwendungstreiber haben. Anderenfalls beantworten Sie mit „Falsch“ und fahren Sie mit Schritt 6 fort.

    Do you currently have a User Application Driver configured [DEFAULT true] :

  5. Als Nächstes werden Sie gefragt, ob Sie mehrere Benutzeranwendungstreiber haben. Beantworten Sie die Frage mit "Wahr", wenn Sie mehrere Benutzeranwendungstreiber haben:

    Do you currently have more than one (1) User Application Driver configured [DEFAULT false] :

  6. Geben Sie den DN des Administrators mit dem Berechtigungsnachweis zum Exportieren des Benutzeranwendungstreibers an:

    Specify the DN of the Identity Vault administrator user.
This user must have inherited supervisor rights to the user application driver specified above.
(e.g. cn=admin,o=acme):

  7. Geben Sie das Passwort für diesen Administrator an:

    Specify the Identity Vault administrator password:

  8. Geben Sie den Hostnamen oder die IP-Adresse des IDM-Servers an, auf dem sich der Benutzeranwendungstreiber befindet:

    Specify the DNS address of the Identity Vault (e.g acme.com):

  9. Geben Sie den Port für die Verbindung an:

    Specify the Identity Vault port [DEFAULT 389]:

  10. Als Nächstes werden Sie gefragt, ob Sie für die Verbindung SSL verwenden werden. Wenn Sie SSL verwenden möchten, setzt die JRE voraus, dass sich das eDirectory-Zertifikat im Herkunftsverbürgungs-Keystore befindet. Befolgen Sie zum Aufbewahren des Zertifikats die Anweisungen in Abschnitt 3.2.7, Aktivieren der JRE für SSL-Verbindungen.

    Use SSL to connect to Identity Vault: [DEFAULT false] :

  11. Geben Sie den vollständig qualifizierten, eindeutigen Namen des zu exportierenden Benutzeranwendungstreibers an:

    Specify the fully qualified LDAP DN of the User Application driver located in the Identity Vault
(e.g. cn=UserApplication,cn=driverset,o=acme):

  12. Geben Sie einen Namen für die LDIF-Datei an, in die die Benutzeranwendung exportiert wird:

    Specify the LDIF file name where the restore data will be written (enter defaults to nrf-case-restore-data.ldif):

  13. Das Dienstprogramm veröffentlicht Informationen über die in der LDIF-Datei gespeicherten Objekte.

  14. Wenn Sie angegeben haben, dass Sie über mehrere Treiber verfügen, erscheint die folgende Aufforderung:

    You indicated you have more than one (1) User Application Driver to configure.
Do you have another driver to export? [DEFAULT false] :

If you have another driver to export then specify true. The utility will repeat Steps 5 through 12 for each driver. 

If you do not have another driver to export then specify false. Ensure that you have exported all existing drivers before proceeding as the utility will proceed with the schema update.

  15. Sie werden aufgefordert, den Speicherort des Dienstprogramms ndssch anzugeben. Das Dienstprogramm ndssch wird zum Aktualisieren des Schemas verwendet.

    Please enter the path to the schema utility:
For Unix/Linux typically /opt/novell/eDirectory/bin/ndssch
For Windows C:\Novell\NDS\schemaStart.bat:

  16. Das Dienstprogramm veröffentlicht die Statusmeldung für die Schema-Aktualisierung:

    Schema has successfully been updated for mixed case compliance!

    HINWEIS:Lassen Sie eDirectory genügend Zeit für die Synchronisierung der Schemaänderungen. Wenn Sie nicht genügend Zeit gewähren, schlägt der Import der LDIF-Datei fehl.

  17. Führen Sie eine weitere Zustandsüberprüfung des Identitätsdepots durch, um sicherzustellen, dass das Schema vor dem Import der LDIF-Datei ordnungsgemäß importiert wurde. Verwenden Sie TID 3564075 zum Durchführen der Zustandsüberprüfung.

  18. Nachdem alle Treiber exportiert wurden und die Schema-Aktualisierung erfolgreich angewendet wurde, müssen Sie die LDIF-Dateien importieren. Sie sollten beim Ausführen des Befehls ice angeben, dass Vorverweise erlaubt werden sollen. Nachfolgend finden Sie einen Vorschlag für die Befehlszeile:

    ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP -s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B

  19. Vergewissern Sie sich, nachdem alle Treiber erneut importiert wurden, dass der „NrfCaseUpdate“-Prozess erfolgreich abgeschlossen wurde. Weitere Informationen finden Sie unter Abschnitt 3.2.6, Verifizierung des „NrfCaseUpdate“-Prozesses.

  20. Nachdem Sie sich vergewissert haben, dass der „NrfCaseUpdate“-Prozess erfolgreich abgeschlossen wurde, können Sie mit der Installation von RBPM 3.7 fortfahren.

3.2.6 Verifizierung des „NrfCaseUpdate“-Prozesses

Vergewissern Sie sich, nachdem alle Treiber erneut importiert wurden, dass die Wiederherstellung erfolgreich verlaufen ist, indem Sie die folgenden Begriffe in der Benutzeranwendung überprüfen:

  • Rollennamen und -beschreibungen

  • Funktionstrennungsnamen und -beschreibungen

  • Beglaubigungsanforderungen einschließlich benutzerdefinierter Anforderungen

  • Berichte

Nach Abschluss der Verifizierung können Sie mit der Installation und Aufrüstung auf RBPM 3.7 fortfahren.

3.2.7 Aktivieren der JRE für SSL-Verbindungen

In diesem Abschnitt wird beschrieben, wie die JRE zum Verwenden einer SSL-Verbindung konfiguriert wird.

Exportieren Sie zunächst ein eigensigniertes Zertifikat aus der Zertifizierungsstelle im Identitätsdepot:

  1. Klicken Sie in der Ansicht Rollen und Aufgaben des iManagers auf Verzeichnisadministration > Objekt ändern.

  2. Wählen Sie das Zertifizierungsstellenobjekt für das Identitätsdepot aus und klicken Sie auf OK. Gewöhnlich befindet es sich im Sicherheitscontainer unter dem Namen TREENAME CA.Security.

  3. Klicken Sie auf Zertifikat > Eigensigniertes Zertifikat.

  4. Klicken Sie auf Exportieren.

  5. Wenn Sie gefragt werden, ob der private Schlüssel mit dem Zertifikat exportiert werden soll, klicken Sie auf Nein und klicken Sie anschließend auf Weiter.

  6. Wählen Sie das binäre DER-Format.

  7. Klicken Sie auf den Link Exportiertes Zertifikat speichern.

  8. Navigieren Sie zu dem Speicherort auf Ihrem Computer, in dem Sie die Datei speichern möchten, und klicken Sie anschließend auf Speichern.

  9. Klicken Sie auf Schließen.

Importieren Sie dann das eigensigniertes Zertifikat in den Herkunftsverbürgungs-Keystore der JRE.

  1. Verwenden Sie das Keytool-Dienstprogramm der JRE.

  2. Importieren Sie das Zertifikat in den Verbürgungsspeicher des Rollenzuordnungsadministrators, indem Sie in der Befehlszeile den folgenden Befehl eingeben:

    keytool -import -file name_of_cert_file -trustcacerts -noprompt -keystore filename -storepass password

    Beispiel:

    keytool -import -file tree_ca_root.b64 -trustcacerts -noprompt -keystore cacerts -storepass changeit

3.2.8 Wiederherstellen ungültig gemachter Benutzeranwendungstreiber

Wenn eine Schema-Aktualisierung auf einen vorhandenen Benutzeranwendungstreiber angewendet wird, bevor der Treiber mithilfe von „NrfCaseUpdate“ verarbeitet wurde, wird er ungültig gemacht. Sie müssen den Treiber dann mithilfe einer Datensicherung wiederherstellen.

WICHTIG:Es ist unerlässlich, dass Sie den ungültig gemachten Benutzeranwendungstreiber nicht löschen oder umbenennen, da sonst alle Verknüpfungen des Treibers auch ungültig werden. Wenn zudem der Rollen- und Ressourcenservice-Treiber läuft und Sie den Benutzeranwendungstreiber löschen, erkennt der Rollen- und Ressourcendiensttreiber die Rollenlöschungen und entfernt die Rollen von den jeweiligen Benutzern.

Zudem ist es nicht ausreichend, den gesicherten Treiber neu in IDM bereitzustellen, denn auf diese Weise kann die Schema-Änderung nicht wieder zusammengeführt werden. Anhand der nachfolgenden Prozedur wird die Wiederherstellung durchgeführt, indem eine umbenannte Kopie des Treibers bereitgestellt wird, sodass die wiederherzustellenden Daten generiert werden.

Die folgende Prozedur bietet einen Überblick über den Prozess zum Wiederherstellen des gesicherten Benutzeranwendungstreibers mithilfe von Designer 3.5:

  1. Starten Sie den eDirectory-Server neu, um sicher zu gehen, dass die Schema-Änderung wirksam wird.

  2. Öffnen Sie eine Kopie des Designer 3.5-Projekts mit der Sicherungskopie des Benutzeranwendungstreibers „UserAppDriver“. Da diese Prozedur den Treibernamen ändert, ist es wichtig, eine Kopie des Projekts zu verwenden.

  3. Wählen Sie den Anschluss zwischen dem Benutzeranwendungstreiber und dem Identitätsdepot aus, klicken Sie mit der rechten Maustaste und wählen Sie Eigenschaften.

  4. Geben Sie einen neuen Namen an, wie z. B. UserAppDriver_wiederherstellen. Wählen Sie Anwenden und OK.

  5. Klicken Sie auf Speichern, um das Projekt zu speichern.

  6. Synchronisieren Sie das Identitätsdepotschema, indem Sie das Identitätsdepot auswählen und Live->Schema->Vergleichen wählen und Designer für die Abgleichsaktion aktualisieren auswählen.

  7. Speichern Sie das Projekt.

  8. Stellen Sie den umbenannten Treiber bereit, indem Sie den Treiber auswählen und Treiber->Bereitstellen wählen.

  9. Führen Sie „NrfCaseUpdate“ aus und exportieren Sie den neu benannten Treiber in eine LDIF-Datei.

  10. Erstellen Sie eine Kopie der LDIF-Datei zum Bearbeiten.

  11. Bearbeiten Sie die LDIF-Datei und benennen Sie alle Treiberbezüge um, um den Benutzeranwendungstreiber, den Sie wiederherstellen, widerzuspiegeln. Wenn z. B. Ihr ursprünglicher Benutzeranwendungstreiber cn=UserAppDriver ist, würden Sie cn=UserAppDriver_wiederherstellen in cn=UserAppDriver umbenennen. Dieser Schritt sorgt dafür, dass effektiv eine LDIF-Datei erstellt wird, die den tatsächlichen Benutzeranwendungstreiber widerspiegelt.

  12. Verwenden Sie „ice“ zum Importieren der geänderten LDIF-Datei:

    ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP -s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B

  13. Überprüfen Sie mithilfe von „ice“ den Status des Importvorgangs, um sicher zu gehen, dass er erfolgreich war.

  14. Befolgen Sie die Anweisungen unter Abschnitt 3.2.6, Verifizierung des „NrfCaseUpdate“-Prozesses, um die Wiederherstellung des Treibers zu verifizieren.

  15. Löschen Sie den umbenannten Treiber aus dem Treibersatz.