本節說明如何使用安裝程式的圖形使用者介面來安裝「Identity Manager 使用者應用程式」。
瀏覽至含有安裝檔案的目錄,如表 5-2所述。
從指令行啟動您平台的安裝程式:
java -jar IdmUserApp.jar
在下拉式選單中選取語言,然後按一下「
」。閱讀授權合約,按一下「我接受授權合約中的條款」,然後按一下「 」。
閱讀安裝精靈的「簡介」頁面,然後按一下「下一步」。
請繼續進行節 5.5.2, 選擇應用程式伺服器平台。
選擇 JBoss 應用程式伺服器平台,然後按一下「
」。如果您不要移轉資料庫,請按一下「節 5.5.4, 指定 WAR 的位置。
」並繼續進行如果您想使用「使用者應用程式」3.0 或 3.01 版的現有資料庫,則必須移轉資料庫。
請確認您已經啟動想移轉的資料庫。
在安裝程式的「資料移轉」頁面中按一下「
」。按一下「install.properties 檔案。
」在 Identity Manager 3.0 或 3.01 的「使用者應用程式」安裝目錄中瀏覽從之前的安裝指定 install.properties 檔案的位置,可減少您在之後頁面所選取的項目數目。
系統會要求您確認資料庫類型、主機名稱和連接埠。如此進行,再按一下「
」。「使用者應用程式」安裝程式會升級您的「使用者安裝程式」,並移轉 3.0 或 3.0.1 版資料庫的資料到 3.5.1 版所使用的資料庫。如需移轉資料庫的詳細資訊和其他步驟,請參閱《Identity Manager 使用者應用程式:移轉指南》。
如果「Identity Manager 使用者應用程式」的 WAR 檔案所在的目錄與安裝程式的不同,安裝程式就會提示您輸入 WAR 的路徑。
如果 WAR 在預設位置中,請按一下「
」。若要指定 WAR 檔案的位置,按一下「
」並選取位置。在「選擇安裝資料夾」頁面上,選取「使用者應用程式」的安裝位置。如果您需要記住並使用預設的位置,請按一下「還原預設資料夾」,或者,如果您想選擇安裝檔案的其他位置,請按一下「 」來瀏覽一個位置。
選取要使用的資料庫平台。
如果您使用 Oracle 資料庫,安裝程式就會詢問您所使用的版本。選擇您的版本。
按「下一步」,然後繼續節 5.5.7, 指定資料庫主機和連接埠。
填寫下列欄位:
填寫下列欄位:
按一下「下一步」,然後繼續節 5.5.9, 指定 Java 根目錄。
按一下「
」瀏覽您的 Java 根資料夾。若要使用預設位置,按一下「 」。在此頁面上讓「使用者應用程式」知道「JBoss 應用程式伺服器」的位置。
此安裝程序不會安裝「JBoss 應用程式伺服器」:如需安裝「JBoss 應用程式伺服器」的指示,請參閱節 5.1.1, 安裝 JBoss 應用程式伺服器和 MySQL 資料庫。
提供基礎資料夾、主機和連接埠:
填寫下列欄位:
(選擇性) 若要啟用「使用者應用程式」的 Novell Audit 記錄:
填寫下列欄位:
按「下一步」,然後繼續節 5.5.14, 設定使用者應用程式組態。
指定是否要輸入現有的萬能金鑰,或是要建立一個新的。需要輸入萬能金鑰的可能原因包括:
您想將安裝從預備系統移到生產系統,並想保留您在預備系統中使用的資料庫存取權限。
您之前將「使用者應用程式」安裝在 JBoss 叢集的第一個成員上,而現在要安裝在叢集的後續成員上 (它們需要同一個萬能金鑰)。
由於磁碟發生錯誤,您必須還原「使用者應用程式」。您必須重新安裝「使用者應用程式」,並指定先前安裝所使用的同一個加密萬能金鑰。這可讓您存取之前儲存的加密資料。
按一下「是」來使用現有的萬能金鑰,或按一下「否」來建立一個新的
按一下「
」。安裝程序會將加密萬能金鑰寫入安裝目錄中的 master-key.txt 檔案。
如果您選擇「節 5.5.14, 設定使用者應用程式組態。完成安裝之後,您必須手動記錄節 5.9.1, 記錄萬能金鑰中所述的萬能金鑰。
」,則請跳至如果您選擇「步驟 3。
」,則請繼續進行如果您選擇輸入現有的加密萬能金鑰,請剪下此金鑰並貼進安裝程序視窗。
「使用者應用程式」的安裝可讓您設定「使用者應用程式」組態參數。安裝之後,這些參數之中有大部分也可透過 configupdate.sh 或 configupdate.bat 進行編輯;如有例外,則於參數描述中說明。
對於叢集,請為叢集的每一個成員指定同一個「使用者應用程式」組態參數。
設定表 5-4所述的「使用者應用程式」基本組態參數,然後繼續進行步驟 2。
表 5-4 使用者應用程式組態:基本參數
設定類型 |
欄位 |
描述 |
---|---|---|
eDirectory 連線設定 |
|
必要。 指定輕量目錄存取協定 (LDAP) 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
指定 LDAP 伺服器的非安全連接埠。例如︰389。 |
|
|
指定 LDAP 伺服器的安全連接埠。例如︰636。 |
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
必要。 指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「 」。若要停用「訪客使用者」,請選取「 」。 |
|
|
指定 LDAP 訪客密碼。 |
|
|
選取這個選項來要求,必須以安全插槽完成使用管理員帳戶的所有通訊 (此選項可能有負面的效能影響)。 |
|
|
選取這個選項來要求,必須以安全插槽完成使用登入使用者帳戶的所有通訊 (此選項可能有負面的效能影響)。 |
|
eDirectory DN |
|
必要。 指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
必要。 指定您先前在節 5.3, 建立「使用者應用程式」驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 UserApplicationDriver、而驅動程式集稱為 myDriverSet,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「 」標籤來管理入口網站。IDM 使用者應用程式:管理指南》。 如需詳細資訊,請參閱《若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
|
此角色可於 Identity Manager 3.5.1 的提供版本中取得。「提供應用程式管理員」會使用「 」標籤 (在「 」標籤之下) 來管理「提供工作流程」功能。這些功能可透過「使用者應用程式」的「 」標籤供使用者使用。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
eDirectory DN (續) |
|
必要。指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。這會定義使用者和群組的搜尋範圍。此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
必要。 指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 由目錄抽象層內的實體定義使用。 |
|
eDirectory 證書 |
|
必要。 針對應用程式伺服器用來執行之 JDK 的 KeyStore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。 在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 |
|
必要。 指定 cacerts 密碼。預設值為「changeit」。 |
|
電子郵件 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。 |
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。 |
|
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。 |
|
|
指定來自提供電子郵件中使用者的電子郵件。 |
|
|
指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
密碼管理 |
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果您核取「 」,就必須提供「 」和「 」的值。如果您不核取「/jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 」,IDM 就會使用預設的內部「密碼管理」功能。 |
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR。 |
|
|
如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm。 |
如果您想設定「使用者應用程式」其他的組態參數,請按一下「顯示進階選項」(請捲動檢視整個面板)。表 5-5描述了「進階選項」參數。
如果您不想設定此步驟所述的其他參數,請跳至步驟 3。
表 5-5 使用者應用程式組態:所有參數
設定類型 |
欄位 |
描述 |
---|---|---|
eDirectory 連線設定 |
|
必要。 指定 LDAP 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
指定 LDAP 伺服器的非安全連接埠。例如︰389。 |
|
|
指定 LDAP 伺服器的安全連接埠。例如︰636。 |
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
必要。 指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「 」。若要停用「訪客使用者」,請選取「 」。 |
|
|
指定 LDAP 訪客密碼。 |
|
|
選取這個選項來要求,必須以安全插槽完成使用管理員帳戶的所有通訊 (此選項可能有負面的效能影響)。 |
|
|
選取這個選項來要求,必須以安全插槽完成登入使用者帳戶所完成的所有通訊 (此選項可能有負面的效能影響)。 |
|
eDirectory DN |
|
必要。 指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
必要。 指定您先前在節 5.3, 建立「使用者應用程式」驅動程式中建立之「使用者應用程式」驅動程式的可辨識名稱。例如,如果您的驅動程式為 userapplicationdriver、而驅動程式集稱為 mydriverset,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「 」標籤來管理入口網站。IDM 使用者應用程式:管理指南》。 如需詳細資訊,請參閱《若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
|
此角色可於 Identity Manager 3.5.1 的提供版本中取得。「提供應用程式管理員」會使用「使用者應用程式」的「 」標籤來管理「提供工作流程」功能。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
中繼目錄使用者身分 |
|
必要。 指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 這會定義使用者和群組的搜尋範圍。 此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
LDAP 使用者物件類別 (通常為 inetOrgPerson)。 |
|
|
代表使用者登入名稱的 LDAP 屬性 (例如 CN)。 |
|
|
此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。 |
|
|
選用。代表使用者群組成員資格的 LDAP 屬性。 請勿在此名稱中使用空格。 |
|
中繼目錄使用者群組 |
|
必要。 指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。 |
|
LDAP 群組物件類別 (通常為 groupofNames)。 |
|
|
代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。 |
|
|
如果您想要使用動態群組,請選取此選項。 |
|
|
LDAP 動態群組物件類別 (通常為 dynamicGroup)。 |
|
eDirectory 證書 |
|
必要。 針對應用程式伺服器用來執行之 JRE 的 keystore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。 「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 |
|
必要。 指定 cacerts 密碼。預設值為「changeit」。 |
|
私密金鑰儲存區 |
|
私密 KeyStore 含有「使用者應用程式」的私密金鑰和證書。保留. 如果您想保留空白,此路徑則預設為 /jre/lib/security/cacerts。 |
|
除非您另行指定,否則密碼為 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
|
除非您另行指定,否則密碼為 novellIDMUserApp。 |
|
|
除非您另行指定,否則密碼為 nove1lIDM。這個密碼會根據萬能金鑰進行加密。 |
|
託管金鑰儲存區 |
|
「託管金鑰儲存區」包含所有託管簽名者的證書,用來驗證數位簽名。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts。 |
|
如果此欄位為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStorePassword 取得密碼。如果值不在那裡,則使用 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
Novell Audit 數位簽名和證書金鑰 |
|
包含 Novell Audit 的數位簽名金鑰和證書。 |
|
|
顯示數位簽名證書。 |
|
|
顯示數位簽名私密金鑰。這個金鑰會根據萬能金鑰進行加密。 |
iChain 設定 |
|
若選取此選項,「使用者應用程式」就可支援同時登出「使用者應用程式」以及 iChain 或 Novell Access Manager。「使用者應用程式」會在登出時檢查是否有 iChain 或 Novell Access Manager 的 Cookie, 如果有,就將使用者重新導向到 ICS 登出頁面。 |
|
連結至 iChain 或 Novell Access Manager 登出頁面的 URL,其中的 URL 是 iChain 或 Novell Access Manager 需要的主機名稱。如果 ICS 登入已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。 |
|
電子郵件 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。 |
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。 |
|
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。 |
|
|
指的是非安全通訊協定 HTTP。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。 |
|
|
指的是安全通訊協定 HTTPS。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PROTOCOL$ 記號。 |
|
|
指定來自提供電子郵件中使用者的電子郵件。 |
|
|
指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
密碼管理 |
|
|
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果您核取「 」,就必須提供「 」和「 」的值。如果您不核取「/jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 」,IDM 就會使用預設的內部「密碼管理」功能。 |
|
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。如需詳細資料,請參閱使用密碼 WAR。 |
|
|
|
如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm。 |
其他 |
|
應用程式會期逾時。 |
|
如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://host:port/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。 |
|
|
授權組態檔案的完全合法名稱。 |
|
容器物件 |
|
選取要使用的「容器物件類型」。 |
|
從下列的標準容器中進行選取:地區、國家、organizationalUnit和領域。您也可以在 iManager 中定義自己的容器,然後將其新增至「 」之下。 |
|
|
列出與「容器物件類型」關聯的「屬性類型」名稱。 |
|
|
在 Identity Vault 中指定一個可做為容器的 ObjectClass 之 LDAP 名稱。 如需有關容器的詳細資訊,請參閱《Novell iManager 2.6 管理指南》 |
|
|
提供容器物件的屬性名稱。 |
附註:在安裝之後,您可以在此檔案中編輯大部分的設定。若要這麼做,請執行 configupdate.sh 程序檔或 Windows configupdate.bat 檔案 (位於您的安裝子目錄中)。請記住,在叢集中,對於叢集的所有成員,此檔案中的設定必須完全相同。
完成設定後,請按一下「確定」,然後繼續進行節 5.5.15, 確認選擇並安裝。
使用「
」組態參數來為一個具有「忘記密碼」功能的 WAR 指定位置。您指定的 WAR 可以在「使用者應用程式」的外部或內部。使用安裝程序或 configupdate 公用程式。
在「使用者應用程式」組態參數中,核取「
」組態參數的核取方塊。如需「
」組態參數,請指定外部密碼 WAR 的位置。納入主機名稱和連接埠,例如 http://localhost:8080/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsf。外部密碼 WAR 可以位於「使用者應用程式」的保護防火牆外面。
如需「https:// idmhost:sslport/idm 。
」,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如回傳連結必須使用 SSL 來確保和「使用者應用程式」之間的 Web 服務通訊安全無虞。並請參閱節 5.9.3, 設定 JBoss 伺服器之間的 SSL 通訊。
如果您使用安裝程式,則請閱讀此步驟中的資訊,然後繼續前往步驟 6。
如果您使用 configupdate 公用程式來更新安裝根目錄中的外部密碼 WAR,則請閱讀此步驟,並手動將 WAR 重新命名為您在「步驟 6。
」中所指定的第一個目錄。然後繼續前往在安裝結束之前,安裝程式會將 IDMPwdMgt.war (隨附於安裝程式) 重新命名為您指定的第一個目錄名稱。經過重新命名的 IDMPwdMgt.war 會變成您的外部密碼 WAR。例如,如果您指定 http://www.idmpwdmgthost.com/ExternalPwd/jsps/pwdmgt/ForgotPassword.jsf,安裝程式就會將 IDMPwdMgt.war 重新命名為 ExternalPwd.war。安裝程式會將重新命名的 WAR 移到安裝根目錄裡面。
手動複製 ExternalPwd.war 到負責執行外部密碼 WAR 功能的遠端 JBoss 伺服器部署目錄。
請勿核取「
」。接受「
」的預設位置,或提供其他密碼 WAR 的 URL。接受「
」的預設值。閱讀「預先安裝摘要」頁面,確認您選擇的安裝參數。
「使用者應用程式」組態頁面不會儲存這些值,因此在您重新指定先前的安裝頁面時,請務必重新輸入「使用者應用程式」的組態值。
對安裝和組態參數感到滿意之後,請返回「預先安裝摘要」頁面並按一下「
」。如果安裝完成時未發生任何錯誤,請移至節 5.9, 安裝後任務。
如果安裝發生錯誤或警告,請檢閱記錄檔案來找出問題。
Identity_Manager_User_Application_InstallLog.log 中保留基本安裝工作的結果
Novell-Custom-Install.log 會存放「使用者應用程式」在安裝期間的組態資訊
如需解決問題的協助,請參閱節 5.11, 疑難排解。