8.2 使用單一指令安裝使用者應用程式

本程序說明如何進行無訊息安裝。無訊息安裝期間不需要任何互動,可節省您的時間,當您必須在一個以上的系統上進行安裝時更是如此。Linux 和 Solaris 可支援無訊息安裝。

  1. 取得表 2-1中所列的適當安裝檔案。

  2. 登入並開啟終端機工作階段。

  3. 找到安裝檔案中隨附的 Identity Manager 內容檔案 silent.properties。如果您從光碟進行,請製作此檔案的本機副本。

  4. 編輯 silent.properties 來提供您的安裝參數以及「使用者應用程式」組態參數。

    請檢視 silent.properties 檔案中各個安裝參數的範例。安裝參數與您在 GUI 或「主控台」安裝程序中設定的安裝參數相對應。

    如需「使用者應用程式」各個組態參數的描述,請參閱表 8-1。「使用者應用程式」組態參數與您在 GUI 或「主控台」安裝程序中設定的參數相同,或與 configupdate 公用程式的相同。

  5. 啟動無訊息安裝,如下所示:

    java -jar IdmUserApp.jar -i silent -f /目錄路徑/silent.properties

    如果 silent.properties 的所在目錄與安裝程式程序檔的不同,則請輸入該檔案的完整路徑。程序檔會將必要的檔案解壓縮至暫存目錄,然後啟動無訊息安裝。

表 8-1 無訊息安裝的使用者應用程式組態參數

silent.properties中的使用者應用程式參數名稱

使用者應用程式組態參數檔案中的同等參數

NOVL_CONFIG_LDAPHOST=

eDirectory 連線設定:LDAP 主機。

指定 LDAP 伺服器的主機名稱或 IP 位址。

NOVL_CONFIG_LDAPADMIN=

eDirectory 連線設定:LDAP 管理員。

指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。

NOVL_CONFIG_LDAPADMINPASS=

eDirectory 連線設定:LDAP 管理員密碼。

指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。

NOVL_CONFIG_ROOTCONTAINERNAME=

eDirectory DN:根容器 DN。

指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。

NOVL_CONFIG_PROVISIONROOT=

eDirectory DN:提供驅動程式 DN。

「使用者應用程式管理員」的可辨識名稱。例如,如果您的驅動程式為 userapplicationdriver、而驅動程式集稱為 mydriverset,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值:

cn=UserApplicationDriver,cn=myDriverSet,o=myCompany

NOVL_CONFIG_LOCKSMITH=

eDirectory DN:使用者應用程式管理員。

Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「管理」索引標籤來管理入口網站。

如果使用者應用程式管理員參與 iManager、Novell Designer for Identity Manager 或使用者應用程式 (「申請與核准」標籤) 中公開的工作流程管理任務,則必須給予此管理員適當的託管者權限,使其能夠存取使用者應用程式驅動程式中的物件例項。如需詳細資訊,請參閱《 使用者應用程式:管理指南》

若想在部署使用者應用程式之後變更此指定,必須使用「使用者應用程式」中的「管理」>「安全性」頁面。

NOVL_CONFIG_PROVLOCKSMITH=

eDirectory DN:佈建應用程式管理員。

Identity Manager 的佈建版本中會提供此使用者。「提供應用程式管理員」會使用「管理」索引標籤下方的「提供」索引標籤來管理「提供工作流程」功能。這些功能可透過「使用者應用程式」的「申請與核准」索引標籤供使用者使用。此使用者必須先存在於 Identity Vault,才能指定為「佈建應用程式管理員」。

若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「管理 > 安全性」頁面。

NOVL_CONFIG_ROLECONTAINERDN=

此角色用於 Novell Identity Manager Roles Based Provisioning Module 中。此角色允許成員建立、移除或修改所有角色,授予或撤銷對任何使用者、群組或容器所做的任何角色指定。它還允許其角色成員為任一使用者執行報告。依預設,「使用者應用程式」管理員會指定為此角色。

若要在部署「使用者應用程式」之後更改此指定,請使用「使用者應用程式」中的「角色」>「角色指定」頁面。

NOVL_CONFIG_COMPLIANCECONTAINERDN

法規遵循模組管理員是一個系統角色,允許成員執行「法規遵循」索引標籤上的所有功能。此使用者必須先存在於 Identity Vault 中,才能指定為「法規遵循模組管理員」。

NOVL_CONFIG_USERCONTAINERDN=

中繼目錄使用者身份:使用者容器 DN。

指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。這會定義使用者和群組的搜尋範圍。此容器中 (和下方) 的使用者可以登入「使用者應用程式」。

重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。

NOVL_CONFIG_GROUPCONTAINERDN=

中繼目錄使用者群組:群組容器 DN。

指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。

NOVL_CONFIG_KEYSTOREPATH=

eDirectory 證書:KeyStore 路徑。必要。

指定應用程式伺服器使用的 JRE 之 keystore (cacerts) 檔案的完整路徑。「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。

NOVL_CONFIG_KEYSTOREPASSWORD=

eDirectory 證書:KeyStore 密碼。

指定 cacerts 密碼。預設值為「changeit」。

NOVL_CONFIG_SECUREADMINCONNECTION=

eDirectory 連線設定:安全管理員連線。

必要。指定 True 來要求,必須以安全插槽進行所有使用管理員帳戶的通訊 (此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

如果管理員帳戶不使用安全插槽通訊,則指定 False

NOVL_CONFIG_SECUREUSERCONNECTION=

eDIRECTORY 連線設定:安全使用者連線。

必要。指定 True 來要求,必須以安全插槽進行所有使用登入之使用者帳戶來執行的通訊 (此選項可能會對效能產生負面影響)。此設定允許不透過 SSL 來執行不需要 SSL 的其他操作。

如果使用者的帳戶不使用安全插槽通訊,則指定 False

NOVL_CONFIG_SESSIONTIMEOUT=

其他:工作階段逾時。

必要。指定應用程式工作階段逾時間隔。

NOVL_CONFIG_LDAPPLAINPORT=

eDirectory 連線設定:LDAP 非安全連接埠。

必要。指定 LDAP 伺服器的非安全連接埠,例如 389。

NOVL_CONFIG_LDAPSECUREPORT=

eDirectory 連線設定:LDAP 安全連接埠。

必要。指定 LDAP 伺服器的安全連接埠,例如 636。

NOVL_CONFIG_ANONYMOUS=

eDirectory 連線設定:使用公用匿名帳戶。

必要。指定 True,允許未登入的使用者存取「LDAP 公用匿名帳戶」。

指定 False 則改為啟用 NOVL_CONFIG_GUEST。

NOVL_CONFIG_GUEST=

eDirectory 連線設定:LDAP 訪客。

允許未登入的使用者存取允許的入口網站應用程式。您必須取消選取「使用公用匿名帳戶」。這個訪客使用者帳戶必須已存在於 Identity Vault。若要停用訪客使用者,請選取「使用公用匿名帳戶」。

NOVL_CONFIG_GUESTPASS=

eDirectory 連線設定:LDAP 訪客密碼。

NOVL_CONFIG_EMAILNOTIFYHOST=

電子郵件:通知範本 HOST 記號。

指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如:

myapplication serverServer

此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是佈建申請任務和核准通知的連結。

NOVL_CONFIG_EMAILNOTIFYPORT=

電子郵件:通知範本 PORT 記號。

用於取代佈建申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。

NOVL_CONFIG_EMAILNOTIFYSECUREPORT=

電子郵件:通知範本 SECURE PORT 記號。

用於取代佈建申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。

NOVL_CONFIG_NOTFSMTPEMAILFROM=

電子郵件:SMTP 電子郵件通知寄件者。

必要。指定來自佈建電子郵件中使用者的電子郵件。

NOVL_CONFIG_NOTFSMTPEMAILHOST=

電子郵件:SMTP 電子郵件通知主機。

必要。指定佈建電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。

NOVL_CONFIG_USEEXTPWDWAR=

密碼管理:使用外部密碼 WAR。

如果您使用的是外部密碼管理 WAR,請指定 True。如果您指定 True,還必須提供 NOVL_CONFIG_EXTPWDWARPTHNOVL_CONFIG_EXTPWDWARRTNPATH 的值。

指定「False」即使用預設的內部密碼管理功能 ./jsps/pwdmgt/ForgotPassword.jsp (開頭不加 http(s) 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。

NOVL_CONFIG_EXTPWDWARPATH=

密碼管理:忘記密碼連結。

在外部或內部密碼管理 WAR 中指定「忘記密碼」功能頁面 ForgotPassword.jsp 的 URL。或者,接受預設的內部密碼管理 WAR。如需詳細資料,請參閱設定外部忘記密碼管理

NOVL_CONFIG_EXTPWDWARRTNPATH=

密碼管理:忘記密碼回傳連結。

指定「忘記密碼回傳連結」以便使用者在執行忘記密碼操作後使用。

NOVL_CONFIG_FORGOTWEBSERVICEURL=

密碼管理:忘記密碼 Web 服務 URL。

外部忘記密碼 WAR 將使用此 URL 回撥到使用者應用程式以執行重要的忘記密碼功能。此 URL 的格式為:

https://<idmhost>:<sslport>/<idm>/pwdmgt/service

NOVL_CONFIG_USEROBJECTATTRIBUTE=

中繼目錄使用者身份:使用者物件類別。

必要。LDAP 使用者物件類別 (通常為 inetOrgPerson)。

NOVL_CONFIG_LOGINATTRIBUTE=

中繼目錄使用者身份:登入屬性。

必要。代表使用者登入名稱的 LDAP 屬性 (例如 CN)。

NOVL_CONFIG_NAMINGATTRIBUTE=

中繼目錄使用者身份:命名屬性。

必要。此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。

NOVL_CONFIG_USERMEMBERSHIPATTRIBUTE=

中繼目錄使用者身分:使用者成員資格屬性。選擇性。

必要。代表使用者群組成員資格的 LDAP 屬性。請勿在此名稱中使用空格。

NOVL_CONFIG_GROUPOBJECTATTRIBUTE=

中繼目錄使用者群組:群組物件類別。

必要。LDAP 群組物件類別 (通常為 groupofNames)。

NOVL_CONFIG_GROUPMEMBERSHIPATTRIBUTE=

中繼目錄使用者群組:群組成員資格屬性。

必要。指定代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。

NOVL_CONFIG_USEDYNAMICGROUPS=

中繼目錄使用者群組:使用動態群組。

必要。指定 True 以使用動態群組。否則,請指定 False

NOVL_CONFIG_DYNAMICGROUPOBJECTCLASS=

中繼目錄使用者群組:動態群組物件類別。

必要。指定 LDAP 動態群組物件類別 (通常為 dynamicGroup)。

NOVL_CONFIG_TRUSTEDSTOREPATH=

託管金鑰儲存區:託管儲存區路徑。

託管金鑰儲存區包含所有託管簽名者的證書。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts

NOVL_CONFIG_TRUSTEDSTOREPASSWORD=

託管金鑰儲存區:託管儲存區密碼。

NOVL_CONFIG_ICSLOGOUTENABLED=

Access Manager 和 iChain 設定:同時登出已啟用。

指定 True 會啟用使用者應用程式與 Novell Access Manager 或 iChain 的同時登出功能。「使用者應用程式」會在登出時檢查是否有 Novell Access Manager 或 iChain 的 Cookie,如果有,就將使用者重新路由至 ICS 登出頁面。

指定 False,停用同時登出功能。

NOVL_CONFIG_ICSLOGOUTPAGE=

Access Manager 和 iChain 設定:同時登出頁面。

指定到 Novell Access Manager 或 iChain 登出頁面的 URL,其中 URL 是 Novell Access Manager 或 iChain 所需的主機名稱。如果 ICS 登入已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。

NOVL_CONFIG_EMAILNOTIFYPROTOCOL=

電子郵件:通知範本 PROTOCOL 記號。

指的是非安全通訊協定 HTTP。用於取代佈建申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。

NOVL_CONFIG_EMAILNOTIFYSECUREPROTOCOL=

電子郵件:通知範本 SECURE PORT 記號。

NOVL_CONFIG_OCSPURI=

其他:OCSP URI。

如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://hstport/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。

NOVL_CONFIG_AUTHCONFIGPATH=

其他:授權組態路徑。

授權組態檔案的完全合法名稱。

NOVL_CONFIG_CREATEDIRECTORYINDEX

其他:建立 eDirectory 索引。

在 NOVL_CONFIG_SERVERDN 中所指定的 eDirectory 伺服器上,如果您希望自動安裝程式在 manager、ismanager 和 srvprvUUID 屬性上建立索引,請指定 true。如果這個參數設為 true,NOVL_CONFIG_REMOVEEDIRECTORYINDEX 就不能設為 true。

為取得最佳效能結果,您應該完成索引的建立。您必須先將索引置於「線上」模式,之後才讓「使用者應用程式」可供使用。

NOVL_CONFIG_REMOVEDIRECTORYINDEX

其他:移除 eDirectory 索引。

如果您希望自動安裝程式移除 NOVL_CONFIG_SERVERDN 中所指定的伺服器上的索引,請指定 true。如果這個參數設為 true,NOVL_CONFIG_CREATEEDIRECTORYINDEX 就不能是 true。

NOVL_CONFIG_SERVERDN

其他:伺服器 DN。

指定要建立或移除索引的 eDirectory 伺服器。

NOVL_CREATE_DB

指出建立資料庫的方式。選項包括:

  • now︰立即建立資料庫。

  • file︰將 SQL 輸出寫入檔案

  • startup︰在應用程式啟動時建立資料庫

NOVL_DATABASE_NEW

指出資料庫是新增的還是現有的。如果是新增的資料庫,請指定「True」。如果是現有的資料庫,請指定 False

NOVL_RBPM_SEC_ADMINDN

安全性管理員。

此角色會授予各成員安全性網域內的所有功能。

安全性管理員可以對安全性網域內的所有物件執行所有允許的動作。安全性網域允許安全性管理員為 Roles Based Provisioning Module 內所有網域的所有物件設定存取許可。安全性管理員可以設定團隊,還可以指定網域管理員、委託管理員及其他安全性管理員。

NOVL_RBPM_RESOURCE_ADMINDN

資源管理員。

此角色會授予各成員資源網域內的所有功能。資源管理員可以對資源網域內的所有物件執行所有允許的動作。

NOVL_RBPM_CONFIG_ADMINDN

此角色會授予各成員組態網域內的所有功能。RBPM 組態管理員可以對組態網域內的所有物件執行所有允許的動作。他可以控制對 Roles Based Provisioning Module 內之導覽項目的存取權限。此外,RBPM 組態管理員還可以設定委託與代理服務、佈建用者介面及工作流程引擎。

RUN_LDAPCONFIG=

指定您要在何時設定 LDAP 設定:現在或以後。值包括:

  • Now︰將提供的 LDAP 組態設定填入 WAR,立即執行 LDAP 設定

  • Later︰只是安裝使用者應用程式檔案,而不設定 LDAP 設定。

8.2.1 靜默安裝模式下在環境中設定密碼

如果不想在 silent.properties 檔案中指定密碼,可以改為在環境中設定密碼。在這種情況下,靜默安裝程式將從環境中而不是從 silent.properties 檔案讀取密碼。如此可以提高安全性。

需要為使用者應用程式安裝程式設定以下密碼︰

  • NOVL_DB_USER_PASSWORD

  • NOVL_CONFIG_DBADMIN_PASSWORD

  • NOVL_CONFIG_LDAPADMINPASS

  • NOVL_CONFIG_KEYSTOREPASSWORD

若要在 Linux 上設定密碼,請使用 export 指令,如下例所示︰

export NOVL_DB_USER_PASSWORD=myPassWord

若要在 Windows 上設定密碼,請使用 set 指令,如下例所示︰

set NOVL_DB_USER_PASSWORD=myPassWord