3.2 Exécution de l'utilitaire NrfCaseUpdate

Cette section fournit des informations concernant l'utilitaire NrfCaseUpdate. Les rubriques sont les suivantes :

3.2.1 Présentation de NrfCaseUpdate

La procédure NrfCaseUpdate est nécessaire pour permettre la prise en charge des recherches de rôles et de ressources avec casse mixte. Cette procédure met à jour le schéma en modifiant les attributs nrfLocalizedDescrs et nrfLocalizedNames, qui sont utilisés par les pilotes de l'application utilisateur. Si votre arborescence eDirectory a été créée sous RBPM 3.6.1 ou une version antérieure, cette procédure est nécessaire avant l'installation de RBPM 4.0 ou la migration de pilotes existants vers Designer 4.0. Cette étape n'est pas nécessaire si vous procédez à une nouvelle installation de la version 4.0 ou à une mise à niveau depuis la version 3.7.

3.2.2 Présentation de l'installation

Cette section présente les étapes permettant de mettre à niveau et de migrer un environnement RBPM existant. Elle met l'accent sur l'utilisation de Designer 4.0 pour la création de sauvegardes des pilotes de l'application utilisateur avant de procéder à n'importe quelle mise à niveau. Elle part également du principe que la version d'IDM utilisée est 3.6 ou une version ultérieure.

  1. Installez Designer 4.0.

  2. Vérifiez l'état de santé du coffre-fort d'identité afin de vous assurer que le schéma s'étend correctement. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.

  3. Importez les pilotes d'application utilisateur existants dans Designer 4.0.

  4. Archivez le projet Designer. Il correspond à l'état du pilote avant l'installation de RBPM 4.0.

  5. Exécutez le processus NrfCaseUpdate.

  6. Créez un projet Designer 4.0 et importez le pilote d'application utilisateur à préparer pour la migration.

  7. Installez RBPM 4.0.

  8. Migrez le pilote à l'aide de Designer 4.0.

  9. Déployez le pilote migré.

3.2.3 Conséquences de l'utilitaire NrfCaseUpdate sur le schéma

Lorsque l'utilitaire NrfCaseUpdate met à jour des attributs existants dans le schéma eDirectory, toutes les instances existantes de ces attributs sont effectivement supprimées. Les pilotes d'application utilisateur se servent de ces attributs et seront donc affectés par cette mise à jour du schéma, en particulier les noms et la description des rôles et des séparations des tâches, les requêtes d'attestation personnalisées et les rapports.

La procédure NrfCaseUpdate met à jour les pilotes d'application utilisateur existants via un utilitaire permettant d'exporter ces pilotes vers un fichier LDIF avant d'exécuter la mise à jour du schéma. L'importation des fichiers LDIF après la mise à jour du schéma recrée tous les objets supprimés au cours de la mise à jour.

Comme toujours, il est important de sauvegarder tous les pilotes d'application utilisateur existants, par mesure de précaution. N'oubliez pas que les mises à jour de schéma affectent toutes les partitions IDM. Il est donc essentiel d'utiliser NrfCaseUpdate pour exporter les pilotes d'application utilisateur dans l'arborescence.

3.2.4 Création d'une sauvegarde des pilotes d'application utilisateur

Novell recommande l'utilisation de Designer pour créer une sauvegarde de vos pilotes d'application utilisateur. Avant de lancer la procédure NrfCaseUpdate, suivez les instructions ci-après pour sauvegarder vos pilotes d'application utilisateur existants :

  1. Installez Designer 4.0 (fourni avec RBPM 4.0).

  2. Créez un coffre-fort d'identité et assignez-le à votre serveur IDM contenant les pilotes d'application utilisateur.

  3. Utilisez l'option En direct -> Importer pour importer votre ensemble de pilotes et vos pilotes d'application utilisateur.

  4. Enregistrez et archivez ce projet Designer.

3.2.5 Utilisation de NrfCaseUpdate

L'utilitaire NrfCaseUpdate vous invite à exporter chaque pilote, puis procède à la mise à jour du schéma. Si vous n'êtes pas sûr de l'existence ou de l'emplacement de certains pilotes d'application utilisateur, il est conseillé de ne pas poursuivre, car la mise à jour du schéma risque d'invalider les pilotes d'application utilisateur existants.

Il est possible d'utiliser le JRE fourni dans le répertoire d'installation d'IDM, généralement /root/idm/jre, pour exécuter NrfCaseUpdate. Si vous avez besoin de connexions SSL à eDirectory, vous devez activer votre JRE pour les connexions SSL. Pour ce faire, suivez les instructions décrites à la Section 3.2.7, Activation du JRE pour les connexions SSL.

Vous pouvez également exécuter l'utilitaire NrfCaseUpdate à distance, à partir d'un hôte avec un JRE doté du certificat eDirectory, par exemple l'hôte du serveur de l'application utilisateur. Dans ce cas, vous devez quitter l'utilitaire NrfCaseUpdate à l'aide de la combinaison de touches CTRL+C, après avoir exporté tous les pilotes vers le fichier LDIF et avant de mettre à jour le schéma. Ensuite, vous pouvez mettre à jour le schéma manuellement sur l'hôte eDirectory à l'aide de la commande ndssch, comme illustré ci-après :

ndssch -h hostname adminDN update-nrf-case.sch

REMARQUE :NrfCaseUpdate accepte plusieurs arguments dans la ligne de commande. Utilisez la commande -help ou -? pour plus d'informations.

Pour exécuter l'utilitaire NrfCaseUpdate, procédez comme suit :

  1. Assurez-vous d'avoir vérifié l'état de santé du coffre-fort d'identité avant d'exécuter l'utilitaire NrfCaseUpdate. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.

  2. Avant de lancer l'utilitaire, identifiez tous les DN des pilotes d'application utilisateur existants. Pour exporter ces pilotes vers LDIF, vous devrez indiquer les références d'authentification.

  3. Exécutez l'utilitaire NrfCaseUpdate. Vous pouvez éventuellement utiliser la commande -v pour afficher des résultats plus détaillés :

    /root/idm/jre/bin/java -jar NrfCaseUpdate.jar -v
    
  4. Vous êtes invité à indiquer si vous possédez un pilote d'application utilisateur. Répondez par l'affirmative si tel est le cas. Sinon, répondez par la négative et passez à l'Étape 6.

    Do you currently have a User Application Driver configured [DEFAULT true] :
    
  5. Ensuite, l'utilitaire vous demande si vous possédez plusieurs pilotes d'application utilisateur. Répondez par l'affirmative si tel est le cas :

    Do you currently have more than one (1) User Application Driver configured [DEFAULT false] :
    
  6. Indiquez le DN de l'administrateur ainsi que les références appropriées pour l'exportation du pilote d'application utilisateur :

    Specify the DN of the Identity Vault administrator user.
    This user must have inherited supervisor rights to the user application driver specified above.
    (e.g. cn=admin,o=acme):
    
  7. Saisissez le mot de passe de cet administrateur :

    Specify the Identity Vault administrator password:
    
  8. Indiquez le nom d'hôte ou l'adresse IP du serveur IDM hébergeant le pilote d'application utilisateur :

    Specify the DNS address of the Identity Vault (e.g acme.com):
    
  9. Spécifiez le port à utiliser pour la connexion :

    Specify the Identity Vault port [DEFAULT 389]:
    
  10. Ensuite, vous êtes invité à préciser si vous voulez utiliser SSL pour la connexion. Dans l'affirmative, le JRE nécessite que le certificat eDirectory soit présent dans la zone de stockage approuvée. Pour conserver le certificat, suivez les instructions décrites à la Section 3.2.7, Activation du JRE pour les connexions SSL.

    Use SSL to connect to Identity Vault: [DEFAULT false] :
    
  11. Indiquez le nom distinctif complet du pilote d'application utilisateur à exporter :

    Specify the fully qualified LDAP DN of the User Application driver located in the Identity Vault
    (e.g. cn=UserApplication,cn=driverset,o=acme):
    

    Si le DN contient un espace, il doit être délimité par des guillemets simples, comme dans l'exemple ci-dessous :

    'cn=UserApplication driver,cn=driverset,o=acme' 
    
  12. Indiquez le nom du fichier LDIF dans lequel l'application utilisateur va être exportée :

    Specify the LDIF file name where the restore data will be written (enter defaults to nrf-case-restore-data.ldif):
    
  13. L'utilitaire publie les informations relatives aux objets enregistrés dans le fichier LDIF.

  14. Si vous avez indiqué que vous possédez plusieurs pilotes, vous recevez l'invite suivante :

    You indicated you have more than one (1) User Application Driver to configure.
    Do you have another driver to export? [DEFAULT false] :
    
    If you have another driver to export then specify true. The utility will repeat Steps 5 through 12 for each driver. 
    
    If you do not have another driver to export then specify false. Ensure that you have exported all existing drivers before proceeding as the utility will proceed with the schema update.
    
  15. Vous êtes invité à indiquer l'emplacement de votre utilitaire ndssch ainsi que les emplacements génériques. L'utilitaire ndssch permet de mettre à jour le schéma.

    Please enter the path to the schema utility:
    For Unix/Linux typically /opt/novell/eDirectory/bin/ndssch
    For Windows C:\Novell\NDS\schemaStart.bat:
    
  16. L'utilitaire publie le message d'état pour la mise à jour du schéma :

    Schema has successfully been updated for mixed case compliance!
    

    REMARQUE :veillez à accorder suffisamment de temps à eDirectory pour la synchronisation des modifications du schéma, faute de quoi l'importation du fichier LDIF échoue.

  17. Vérifiez de nouveau l'état de santé du coffre-fort d'identité afin de vous assurer, avant l'importation du fichier LDIF, que le schéma s'est étendu correctement. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.

  18. Une fois que tous les pilotes sont exportés et que la mise à jour du schéma est correctement appliquée, vous devez importer chaque fichier LDIF. Indiquez que vous souhaitez autoriser les références en aval dans votre commande ice. La ligne de commande ci-dessous est fournie à titre d'exemple :

    ice -l [mylogfile.log] -v -SLDIF -f [your_created_ldif] -c -DLDAP -s [hostname] -p [389/636] -d [cn=myadmin,o=mycompany] -w [MYPASSWORD] -F -B
    
  19. Lorsque tous les pilotes sont réimportés, vérifiez que le processus NrfCaseUpdate a abouti. Pour plus d'informations, reportez-vous à la Section 3.2.6, Vérification du processus NrfCaseUpdate.

  20. Une fois que vous avez vérifié que le processus NrfCaseUpdate a abouti, vous pouvez procéder à l'installation de RBPM 4.0.

3.2.6 Vérification du processus NrfCaseUpdate

Une fois tous les pilotes réimportés, assurez-vous que la restauration a abouti. Pour ce faire, vérifiez les éléments suivants dans l'application utilisateur :

  • Nom et description des rôles

  • Nom et description des séparations des tâches

  • Requêtes d'attestation, y compris les requêtes personnalisées

  • Rapports

Une fois cette vérification terminée, vous pouvez poursuivre l'installation et effectuer la mise à niveau vers RBPM 4.0.

3.2.7 Activation du JRE pour les connexions SSL

Cette section explique comment configurer le JRE pour qu'il utilise une connexion SSL.

En premier lieu, exportez un certificat auto-signé à partir de l'autorité de certification dans le coffre-fort d'identité :

  1. Dans la vue Rôles et tâches d'iManager, cliquez sur Administration de l'annuaire > Modifier un objet.

  2. Sélectionnez l'objet Autorité de certification pour le coffre-fort d'identité, puis cliquez sur OK. Il se trouve généralement dans le conteneur Sécurité et est nommé NOM_ARBORESCENCE CA.Security.

  3. Cliquez sur Certificat > Certificat auto-signé.

  4. Cliquez sur Exporter.

  5. Lorsque vous êtes invité à indiquer si vous souhaitez exporter la clé privée avec le certificat, cliquez sur Non, puis sur Suivant.

  6. Sélectionnez le format DER binaire.

  7. Cliquez sur le lien Enregistrer le certificat exporté.

  8. Accédez à l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur Enregistrer.

  9. Cliquez sur Fermer.

Ensuite, importez le certificat auto-signé dans la zone de stockage approuvée du JRE.

  1. Exécutez l'utilitaire keytool inclus dans le JRE.

  2. Importez le certificat dans la zone de stockage approuvée de l'administrateur d'assignation des rôles. Pour ce faire, saisissez la commande suivante en réponse à l'invite :

    keytool -import -file name_of_cert_file -trustcacerts -noprompt -keystore filename -storepass password
    

    Par exemple :

    keytool -import -file tree_ca_root.b64 -trustcacerts -noprompt -keystore cacerts -storepass changeit
    

3.2.8 Restauration des pilotes d'application utilisateur invalidés

Si la mise à jour du schéma est appliquée à un pilote d'application utilisateur avant que l'utilitaire NrfCaseUpdate traite ce pilote, ce dernier est invalidé et vous devez le restaurer à l'aide d'une sauvegarde.

IMPORTANT :ne supprimez et ne renommez pas le pilote d'application utilisateur invalidé, car cela invaliderait toutes les associations du pilote. En outre, si le pilote du service de rôles et de ressources est en cours d'exécution et que vous supprimez le pilote d'application utilisateur, le pilote du service de rôles et de ressources détecte les suppressions de rôles et supprime les rôles des utilisateurs concernés.

Par ailleurs, il ne suffit pas de redéployer le pilote sauvegardé dans IDM, car le changement de schéma ne peut pas être actualisé de cette façon. La procédure suivante effectue la restauration en déployant une copie renommée du pilote afin de générer les données à restaurer.

Cette procédure décrit le processus de restauration d'une sauvegarde du pilote d'application utilisateur à l'aide de Designer 4.0 :

  1. Redémarrez le serveur eDirectory afin de vérifier que la modification du schéma a été prise en compte.

  2. Ouvrez une copie du projet Designer 4.0 contenant la sauvegarde du pilote d'application utilisateur UserAppDriver. Cette procédure modifie le nom du pilote ; il est donc important d'utiliser une copie du projet.

  3. Sélectionnez le connecteur entre le pilote d'application utilisateur et le coffre-fort d'identité, cliquez avec le bouton droit de la souris, puis choisissez Propriétés.

  4. Indiquez un nouveau nom, par exemple UserAppDriver_restore. Cliquez sur Appliquer, puis sur OK.

  5. Cliquez sur Enregistrer pour enregistrer le projet.

  6. Synchronisez le schéma du coffre-fort d'identité : sélectionnez le coffre-fort d'identité, puis accédez au menu En direct -> Schéma -> Comparer et choisissez Mettre à jour Designer pour l'opération de rapprochement.

  7. Enregistrez le projet.

  8. Déployez le pilote renommé : sélectionnez le pilote puis choisissez Pilote -> Déployer.

  9. Exécutez l'utilitaire NrfCaseUpdate et exportez le pilote renommé vers un fichier LDIF.

  10. Créez une copie du fichier LDIF afin de pouvoir le modifier.

  11. Modifiez le fichier LDIF et renommez toutes les références du pilote en fonction du pilote d'application utilisateur que vous restaurez. Par exemple, si votre pilote d'application utilisateur initial est cn=UserAppDriver, renommez cn=UserAppDriver_restore en cn=UserAppDriver. Cette étape crée un fichier LDIF reflétant le pilote d'application utilisateur réel.

  12. Importez le fichier LDIF modifié à l'aide de la commande ice :

    ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP -s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B
    
  13. Vérifiez l'état de l'importation à l'aide de la commande ice afin de vous assurer qu'elle a abouti.

  14. Suivez les instructions de la Section 3.2.6, Vérification du processus NrfCaseUpdate pour vérifier la restauration du pilote.

  15. Supprimez le pilote renommé de l'ensemble de pilotes.