本節說明如何使用安裝程式的圖形使用者介面,在 WebSphere 應用程式伺服器上安裝「IDM 使用者應用程式」。
瀏覽至含有安裝檔案的目錄,如所述。
啟動安裝程式:
java -jar IdmUserApp.jar
在下拉式選單中選取語言,然後按一下「確定」。
閱讀授權合約,按一下「
」,然後按一下「 」。閱讀安裝精靈的「簡介」頁面,然後按一下「
」。請繼續進行節 5.6.2, 選擇應用程式伺服器平台。
如果「Identity Manager 使用者應用程式」的 WAR 檔案所在的目錄與安裝程式的不同,安裝程式就會提示您輸入 WAR 的路徑。
如果 WAR 在預設位置中,請按一下「
」。若要指定 WAR 檔案的位置,按一下「
」並選取位置。在「選擇安裝資料夾」頁面上,選取「使用者應用程式」的安裝位置。如果您需要記住並使用預設的位置,請按一下「
」,或者,如果您想選擇安裝檔案的其他位置,請按一下「 」來瀏覽一個位置。選取要使用的資料庫平台。
如果您使用 Oracle 資料庫,安裝程式就會詢問您所使用的版本。選擇您的版本。
附註:使用 WebSphere 時,您必須使用已套用未限制規則檔案的 IBM JDK。
按一下「
」瀏覽您的 Java 根資料夾。若要使用預設位置,按一下「 」。若要啟用「使用者應用程式」的 Novell Audit 記錄 (選擇性):
填寫下列欄位:
按一下「節 5.6.8, 指定萬能金鑰。
」,繼續進行指定是否要輸入現有的萬能金鑰,或是要建立一個新的。需要輸入萬能金鑰的可能原因包括:
您想將安裝從預備系統移到生產系統,並想保留您在預備系統中使用的資料庫存取權限。
您之前將「使用者應用程式」安裝在 叢集的第一個成員上,而現在要安裝在叢集的後續成員上 (它們需要同一個萬能金鑰)。
由於磁碟發生錯誤,您必須還原「使用者應用程式」。您必須重新安裝「使用者應用程式」,並指定先前安裝所使用的同一個加密萬能金鑰。這可讓您存取之前儲存的加密資料。
按一下「是」來使用現有的萬能金鑰,或按一下「否」來建立一個新的
按一下「
」。安裝程序會將加密萬能金鑰寫入安裝目錄中的 master-key.txt 檔案。
如果您選擇「節 5.6.9, 設定使用者應用程式組態。在完成安裝後,您必須手動記錄萬能金鑰。如果您選擇「 」,請繼續 步驟 3。
」,則請跳至如果您選擇輸入現有的加密萬能金鑰,請剪下此金鑰並貼進安裝程序視窗。
按一下「節 5.6.9, 設定使用者應用程式組態。
」,繼續進行「使用者應用程式」的安裝可讓您設定「使用者應用程式」組態參數。安裝之後,這些參數之中有大部分也可透過 configupdate.sh 或 configupdate.bat 進行編輯;如有例外,則於參數描述中說明。對於叢集,請為叢集的每一個成員指定同一個「使用者應用程式」組態參數。
在第一個「使用者應用程式組態」頁面上,按一下「
」。設定表 5-6所述的「使用者應用程式」基本組態參數,然後繼續進行步驟 3。
表 5-6 使用者應用程式組態:基本參數
如果您想設定「使用者應用程式」其他的組態參數,請按一下「表 5-7描述了「進階選項」參數。 如果您不想設定此步驟所述的其他參數,請跳至步驟 4。
」(請捲動檢視整個面板)。表 5-7 使用者應用程式組態:所有參數
設定類型 |
欄位 |
描述 |
---|---|---|
eDirectory 連線設定 |
|
必要。 指定 LDAP 伺服器的主機名稱或 IP 位址。例如: myLDAPhost |
|
指定 LDAP 伺服器的非安全連接埠。例如︰389。 |
|
|
指定 LDAP 伺服器的安全連接埠。例如︰636。 |
|
|
必要。指定 LDAP 管理員的認證。此使用者必須已經存在。「使用者應用程式」會使用此帳戶,來建立 Identity Vault 的管理連線。這個值會根據萬能金鑰進行加密。 |
|
|
必要。 指定 LDAP 管理員密碼。這個密碼會根據萬能金鑰進行加密。 |
|
|
允許未登入的使用者存取「LDAP 公用匿名帳戶」。 |
|
|
允許未登入的使用者存取允許的入口網站應用程式。這個使用者帳戶必須已存在於 Identity Vault。若要啟用「LDAP 訪客」,您必須取消選取「 」。若要停用「訪客使用者」,請選取「 」。 |
|
|
指定 LDAP 訪客密碼。 |
|
|
選取這個選項來要求,必須以安全插槽完成使用管理員帳戶的所有通訊 (此選項可能有負面的效能影響)。 |
|
|
選取這個選項來要求,必須以安全插槽完成登入使用者帳戶所完成的所有通訊 (此選項可能有負面的效能影響)。 |
|
eDirectory DN |
|
必要。 指定根容器的輕量目錄存取協定 (LDAP) 可辨識名稱。當在目錄抽象層中沒有指定任何搜尋根部時,會將它用做預設實體定義搜尋根部。 |
|
必要。 「使用者應用程式管理員」的可辨識名稱。 例如,如果您的驅動程式為 userapplicationdriver、而驅動程式集稱為 mydriverset,並且該驅動程式集位於 o=myCompany 的網路位置,則輸入值: cn=UserApplicationDriver,cn=myDriverSet,o=myCompany |
|
|
必要。Identity Vault 中擁有權限執行管理任務 (由「使用者應用程式」使用者容器指定) 的使用者。此使用者可以使用「使用者應用程式」的「 」標籤來管理入口網站。如果「使用者應用程式管理員」參與 iManager、Novell Designer for Identity Manager 或「使用者應用程式」(「IDM 使用者應用程式:管理指南》。 」標籤) 中公開的工作流程管理任務,您就必須給予此管理員適當的託管者權限,使其能夠存取「使用者應用程式」驅動程式中的物件例項。如需詳細資訊,請參閱《若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
|
此角色可於 Identity Manager 3.5.1 的提供版本中取得。「提供應用程式管理員」會使用「使用者應用程式」的「 」標籤來管理「提供工作流程」功能。此使用者必須先存在於 Identity Vault,才能指定為「提供應用程式管理員」。若想在部署「使用者應用程式」之後變更此指定,則必須使用「使用者應用程式」中的「 」頁面。 |
|
中繼目錄使用者身分 |
|
必要。 指定使用者容器的 LDAP 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。 這會定義使用者和群組的搜尋範圍。 此容器中 (和下方) 的使用者可以登入「使用者應用程式」。 重要:如果您想讓使用者可以執行工作流程,請確定「使用者應用程式」驅動程式設定期間指定的「使用者應用程式管理員」存在於此容器中。 |
|
LDAP 使用者物件類別 (通常為 inetOrgPerson)。 |
|
|
代表使用者登入名稱的 LDAP 屬性 (例如 CN)。 |
|
|
此 LDAP 可在查閱使用者或群組時做為識別碼。這和登入屬性不一樣,後者只能用於登入,不可用於使用者/群組搜尋。 |
|
|
選用。代表使用者群組成員資格的 LDAP 屬性。 請勿在此名稱中使用空格。 |
|
中繼目錄使用者群組 |
|
必要。 指定群組容器的輕量目錄存取協定 (LDAP) 可辨識名稱 (DN) 或完全合法的 LDAP 名稱。由目錄抽象層內的實體定義使用。 |
|
LDAP 群組物件類別 (通常為 groupofNames)。 |
|
|
代表使用者群組成員資格的屬性。請勿在此名稱中使用空格。 |
|
|
如果您想要使用動態群組,請選取此選項。 |
|
|
LDAP 動態群組物件類別 (通常為 dynamicGroup)。 |
|
eDirectory 證書 |
|
必要。 針對應用程式伺服器用來執行之 JRE 的 keystore (cacerts) 檔案,輸入其完整路徑,或者,按一下瀏覽器小按鈕來瀏覽 cacerts 檔案。 「使用者應用程式」的安裝會修改 KeyStore 檔案。在 Linux 或 Solaris 上,使用者必須擁有權限寫入此檔案。 |
|
必要。 指定 cacerts 密碼。預設值為「changeit」。 |
|
私密金鑰儲存區 |
|
私密 KeyStore 含有「使用者應用程式」的私密金鑰和證書。保留。如果您想保留空白,此路徑則預設為 /jre/lib/security/cacerts。 |
|
除非您另行指定,否則密碼為 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
|
除非您另行指定,否則密碼為 novellIDMUserApp。 |
|
|
除非您另行指定,否則密碼為 nove1lIDM。這個密碼會根據萬能金鑰進行加密。 |
|
託管金鑰儲存區 |
|
「託管金鑰儲存區」包含所有託管簽名者的證書,用來驗證數位簽名。如果此路徑為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStore 取得路徑。如果路徑不在那裡,就假設為 jre/lib/security/cacerts。 |
|
如果此欄位為空,則「使用者應用程式」會從「系統」內容 javax.net.ssl.trustStorePassword 取得密碼。如果值不在那裡,則使用 changeit。這個密碼會根據萬能金鑰進行加密。 |
|
Novell Audit 數位簽名和證書金鑰 |
|
包含 Novell Audit 的數位簽名金鑰和證書。 |
|
|
顯示數位簽名證書。 |
|
|
顯示數位簽名私密金鑰。這個金鑰會根據萬能金鑰進行加密。 |
iChain 設定 |
|
若選取此選項,「使用者應用程式」就可支援同時登出「使用者應用程式」以及 iChain 或 Novell Access Manager。「使用者應用程式」會在登出時檢查是否有 iChain 或 Novell Access Manager 的 Cookie, 如果有,就將使用者重新導向到 ICS 登出頁面。 |
|
連結至 iChain 或 Novell Access Manager 登出頁面的 URL,其中的 URL 是 iChain 或 Novell Access Manager 需要的主機名稱。如果 ICS 登入已經啟用,且使用者登出了「使用者應用程式」,則該使用者會被重新導向至此頁面。 |
|
電子郵件 |
|
指定代管「Identity Manager 使用者應用程式」的應用程式伺服器。例如: myapplication serverServer 此值會取代電子郵件範本中的 $HOST$ 記號。建構的 URL 是提供申請任務和核准通知的連結。 |
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PORT$ 記號。 |
|
|
用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PORT$ 記號。 |
|
|
指的是非安全通訊協定 HTTP。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $PROTOCOL$ 記號。 |
|
|
指的是安全通訊協定 HTTPS。用於取代提供申請任務和核准通知中所使用之電子郵件範本中的 $SECURE_PROTOCOL$ 記號。 |
|
|
指定來自提供電子郵件中使用者的電子郵件。 |
|
|
指定提供電子郵件所使用的 SMTP 電子郵件主機。可以是 IP 位址或 DNS 名稱。 |
|
密碼管理 |
|
|
|
此功能可讓您指定一個「忘記密碼」頁面放在外部「忘記密碼 WAR」中,並指定一個 URL,讓外部「忘記密碼 WAR」用來透過 Web 服務喚回「使用者應用程式」。 如果您核取「 」,就必須提供「 」和「 」的值。如果您不核取「/jsps/pwdmgt/ForgotPassword.jsf (開頭不使用 HTTP 通訊協定)。這會將使用者重新導向至「使用者應用程式」內建的「忘記密碼」功能,而不是外部 WAR。 」,IDM 就會使用預設的內部「密碼管理」功能。 |
|
|
此 URL 指向「忘記密碼」功能頁面。在外部或內部的密碼管理 WAR 中指定 ForgotPassword.jsf 檔案。 |
|
|
|
如果您使用外部密碼管理 WAR,則請提供該外部「密碼管理 WAR」用來透過 Web 服務喚回「使用者應用程式」的路徑,例如 https://idmhost:sslport/idm。 |
其他 |
|
應用程式會期逾時。 |
|
如果用戶端安裝使用線上證書狀態通訊協定 (On-Line Certificate Status Protocol,OCSP),則請提供資源識別字串 (Uniform Resource Identifier,URI)。例如,格式為 http://host:port/ocspLocal。OCSP URI 會在線上更新託管證書的狀態。 |
|
|
授權組態檔案的完全合法名稱。 |
|
|
|
|
|
|
|
容器物件 |
|
選取要使用的「容器物件類型」。 |
|
從下列的標準容器中進行選取:地區、國家、organizationalUnit和領域。您也可以在 iManager 中定義自己的容器,然後將其新增至「 」之下。 |
|
|
列出與「容器物件類型」關聯的「屬性類型」名稱。 |
|
|
在 Identity Vault 中指定一個可做為容器的 ObjectClass 之 LDAP 名稱。 如需有關容器的詳細資訊,請參閱《Novell iManager 2.6 管理指南》 |
|
|
提供容器物件的屬性名稱。 |
完成設定後,請按一下「節 5.6.10, 確認選擇並安裝
」,然後繼續進行閱讀「預先安裝摘要」頁面,確認您選擇的安裝參數。
「使用者應用程式」組態頁面不會儲存這些值,因此在您重新指定先前的安裝頁面時,請務必重新輸入「使用者應用程式」的組態值。
對安裝和組態參數感到滿意之後,請返回「預先安裝摘要」頁面並按一下「節 5.6.11, 檢視記錄檔案。
」。請繼續進行如果安裝完成時未發生任何錯誤,請移至節 5.6.12, 新增使用者應用程式組態檔和 JVM 系統內容。
如果安裝發生錯誤或警告,請檢閱記錄檔案來找出問題。
Identity_Manager_User_Application_Installlog.log 中保留基本安裝工作的結果
Novell-Custom-Install.log 會存放「使用者應用程式」在安裝期間的組態資訊。
將「使用者應用程式」安裝目錄中的 sys-configuration-xmldata.xml 檔案,複製到代管 WebSphere 伺服器的機器上的目錄,例如 /UserAppConfigFiles。「使用者應用程式」安裝目錄是您安裝「使用者應用程式」所在的目錄。
將路徑設定到 JVM 系統內容中的 sys-configuration-xmldata.xml 檔案。以 admin 使用者身分登入 WebSphere 管理主控台。
從左面板中,移至「
」在伺服器清單中的伺服器名稱上按一下,例如 server1。
在右面板的設定清單中,移至「
」中的「 」。展開連結,選取「
」。在「
」清單下,選取「 」。選取 JVM 頁面「
」標題下的「 」。按一下「
」以新增新的 JVM 系統內容。為「extend.local.config.dir。
」指定為「 /UserAppConfigFiles,您在此目錄中複製 sys-configuration-xmldata.xml 檔案。
」指定目錄,例如為「到 sys-configuration-xmldata.xml 的路徑」。
」指定內容的描述,例如「按一下
來儲存變更。按一下「
」以新增另一個新 JVM 系統內容。為「idmuserapp.logging.config.dir。
」指定為「 /UserAppConfigFiles,您在此目錄中複製 sys-configuration-xmldata.xml 檔案。
」指定目錄,例如為「到 sys-configuration-xmldata.xml 的路徑」。
」指定內容的描述,例如「按一下
來儲存變更。附註:idmuserapp-logging.xml 檔案不需要存在於這個目錄中。當記錄組態變更時,便會建立這個檔案。
「使用者應用程式」安裝程序將 eDirectory 託管根部證書匯出到您安裝「使用者應用程式」所在的目錄。將這些證書複製到代管 WebSphere 伺服器的機器上。
將證書匯入至 WebSphere keystore。您可以使用 WebSphere 管理主控台(使用 WebSphere 管理主控台匯入證書) 或透過指令行(以指令行匯入證書。) 來完成。
匯入證書後,繼續進行 節 5.6.14, 部署 IDM WAR 檔。
以 admin 使用者身分登入 websphere 管理主控台。
從左面板中,移至「
」。在右側的設定清單中,移至「
」下的「 」。選取「
」(或您目前使用託管區)。在右側的「
」中,選取「 」。按一下
。輸入別名和到證書檔案的完整路徑。
將下拉式清單中的「資料」類型變更為「
」。按一下
。您現在應該會在簽署者證書清單中看到證書。從託管 WebSphere 伺服器的機器上的指令行,執行金鑰工具將證書匯入至 WebSphere keystore。
附註:您必須使用 WebSphere 金鑰工具,否則這功能無法作用。此外,請確定 store 類型為 PKCS12。
WebSphere 金鑰工具位於 /IBM/WebSphere/AppServer/java/bin。
keytool -import -trustcacerts -file servercert.der -alias myserveralias -keystore trust.p12 -storetype PKCS12
如果您的系統上有多個 trust.p12,您必須指定到檔案的完整路徑。
以 admin 使用者身分登入 websphere 管理主控台。
在左面板中,移至「
」瀏覽至 IDM War 的檔案位置(IDM WAR 檔案是在安裝「使用者應用程式」期間設定的,它位在您安裝「使用者應用程式」期間,所指定的「使用者應用程式」安裝目錄中)。
輸入應用程式的內部根部,例如 IDMProv。這將會是 URL 路徑。
確定「
」已選取,再按一下「 」移至「 」頁面。接受此頁面的預設值,並按一下「
」移至「 」畫面。將此頁面上的所有設定均保留為預設值,並按一下「
」移至「 」頁面。對於驗證模式,請選取「MyServerNode01/MyAlias。
」核取方塊。接著,在「 」下拉清單中,選取您先前建立的別名,例如在驗證設定下方的表格中,找到您在部署的模組。在「目標資源 JNDI 名稱」欄下,按一下瀏覽按鈕來指定 JNDI 名稱。這會帶出資源清單。選取您先前建立的資料來源,並按一下「 」按鈕回到「對應資源參考至資源」頁面,例如 MyDataSource。
選取「
」移至「 」頁面。將這張頁面的所有設定保留為預設值,並按一下「
」移至「 」頁面。按一下
以完成指定。完成部署後,按一下「
」儲存變更。請繼續進行節 5.6.15, 啟動應用程式。
以 admin 使用者登入 WebSphere 管理主控台。
在左導覽面板中,移至「
」。選取您要啟動的應用程式旁的核取方塊,再按一下「
」。啟動後,「
」欄會顯示綠色箭頭。使用您在部署期間指定的內容來存取入口網站。
WebSphere 上 Web 容器的預設連接埠是 9080,或是 9443 安全連接埠。日期的格式為:
http:// <server>:9080/IDMProv