IBM Tivoli Identity Manager Server
Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere Version 4.5.1
SC11-2061-01
IBM Tivoli Identity Manager Server
Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere Version 4.5.1
SC11-2061-01
Important Avant d’utiliser le présent document et le produit associé, prenez connaissance des informations générales figurant à la section Annexe H, «Remarques», à la page 165.
Deuxième édition - avril 2004 Réf. US : SC32-1147-03 LE PRESENT DOCUMENT EST LIVRE ″EN L’ETAT″. IBM DECLINE TOUTE RESPONSABILITE, EXPRESSE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE QUALITE MARCHANDE OU D’ADAPTATION A VOS BESOINS. Certaines juridictions n’autorisent pas l’exclusion des garanties implicites, auquel cas l’exclusion ci-dessus ne vous sera pas applicable. Ce document est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. Les informations qui y sont fournies sont susceptibles d’être modifiées avant que les produits décrits ne deviennent eux-mêmes disponibles. En outre, il peut contenir des informations ou des références concernant certains produits, logiciels ou services non annoncés dans ce pays. Cela ne signifie cependant pas qu’ils y seront annoncés. Pour plus de détails, pour toute demande d’ordre technique, ou pour obtenir des exemplaires de documents IBM, référez-vous aux documents d’annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial. Vous pouvez également consulter les serveurs Internet suivants : v http://www.fr.ibm.com (serveur IBM en France) v http://www.can.ibm.com (serveur IBM au Canada) v http://www.ibm.com (serveur IBM aux Etats-Unis) Compagnie IBM France Direction Qualité Tour Descartes 92066 Paris-La Défense Cedex 50 © Copyright IBM France 2004. Tous droits réservés. © Copyright International Business Machines Corporation 2004. All rights reserved.
Table des matières Avis aux lecteurs canadiens . . . . . . . . . . . . . . . . . . . . . . . . . . vii Avant-propos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix A qui s’adresse ce document . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Publications . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ix Bibliothèque Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . ix Publications relatives aux produits prérequis . . . . . . . . . . . . . . . . . . . . . . . x Publications connexes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Accès aux publications en ligne . . . . . . . . . . . . . . . . . . . . . . . . . . . . xi Accessibilité . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Accès au service de support logiciel IBM . . . . . . . . . . . . . . . . . . . . . . . . . xii Conventions utilisées dans ce guide . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Conventions typographiques . . . . . . . . . . . . . . . . . . . . . . . . . . . . xii Différences entre les systèmes d’exploitation . . . . . . . . . . . . . . . . . . . . . . . xiii Définitions des variables de répertoire HOME . . . . . . . . . . . . . . . . . . . . . . xiii
Chapitre 1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1 Configuration matérielle et logicielle requise . . . . . . . . . Utilisation de l’image d’installation de la version 4.5.1 . . . . . Mise à niveau d’une version existante de Tivoli Identity Manager Installation de Tivoli Identity Manager version 4.5.1 sur un nouvel
. . . . . . . . . . . . ordinateur
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
. . . .
1 1 2 2
Chapitre 2. Présentation de la configuration . . . . . . . . . . . . . . . . . . . . 3 Terminologie WebSphere Application Server . . . . . . . . . . . . . . . . . . . . . . . . . 3 Configurations à serveur unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5 Configurations en clusters pour Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . 6 Niveaux du serveur Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . 7 Configuration à cluster unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8 Configuration en cluster fonctionnel . . . . . . . . . . . . . . . . . . . . . . . . . . 9 Service de messages Java et autres processus serveur . . . . . . . . . . . . . . . . . . . . 10 Limites de l’environnement WebSphere à l’aide de Tivoli Identity Manager . . . . . . . . . . . . . 10
Chapitre 3. Configuration de la base de données
. . . . . . . . . . . . . . . . . 11
Configuration d’IBM DB2 . . . . . . . . . . . . . . . . . . . Confirmation des communications et configuration du serveur . . . . . Configuration du pilote JDBC IBM DB2 . . . . . . . . . . . . . Configuration d’IBM DB2 versions 7.1 et 7.2 pour un pilote JDBC de type 2 . Configuration du profil IBM DB2 sur chaque ordinateur membre du cluster . Exemple : Extension des valeurs pour DB2 . . . . . . . . . . . . Installation et configuration d’Oracle pour Tivoli Identity Manager . . . . . Préparation de l’installation d’Oracle sous AIX . . . . . . . . . . Préparation de l’installation d’Oracle sous Solaris. . . . . . . . . . Préparation de l’installation d’Oracle sous HP-UX . . . . . . . . . Préparation de l’installation d’Oracle sous Linux . . . . . . . . . . Préparation de l’installation d’Oracle sous Windows . . . . . . . . . Configuration d’Oracle après l’installation . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
. . . . . . . . . . . . .
11 11 15 17 18 18 18 19 21 22 24 24 24
Chapitre 4. Configuration du serveur d’annuaires . . . . . . . . . . . . . . . . . 27 Configuration d’IBM Directory Server . . . . . . . . . . . . . . . . . . Définition du suffixe de Tivoli Identity Manager . . . . . . . . . . . . . . Configuration du plug-in d’intégrité référentielle pour Tivoli Identity Manager . . . . Redémarrage du serveur d’annuaires . . . . . . . . . . . . . . . . . . Création de l’objet suffixe LDAP . . . . . . . . . . . . . . . . . . . Gestion des limitations des unités d’exécution d’IBM Directory Server 5.2 sous Windows © Copyright IBM Corp. 2004
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
. . . . . .
27 28 28 30 31 32
iii
Utilisation de la version 5.1 et de WebSphere Application Server sur le même ordinateur . Configuration de Sun ONE Directory Server . . . . . . . . . . . . . . . .
. .
. .
. .
. .
. .
. .
. .
. 33 . 33
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 37 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . Résolution des incidents de port . . . . . . . . . . . . . . . . . . . . Feuille de travail relative à l’installation dans une configuration à serveur unique . . . . Informations de base de données . . . . . . . . . . . . . . . . . . . Informations sur le serveur d’annuaires . . . . . . . . . . . . . . . . . Informations sur l’installation de WebSphere Application Server dans une configuration à Informations sur IBM HTTP Server . . . . . . . . . . . . . . . . . . Informations sur Tivoli Identity Manager . . . . . . . . . . . . . . . . Installation du serveur Tivoli Identity Manager . . . . . . . . . . . . . . . Navigation dans les fenêtres de bienvenue et de licence . . . . . . . . . . . Sélection du type d’installation et du répertoire d’installation . . . . . . . . . . Sélection d’une base de données . . . . . . . . . . . . . . . . . . . Fenêtres relatives à une installation dans une configuration à serveur unique . . . . Spécification de la sécurité globale de WebSphere . . . . . . . . . . . . . Spécification d’une clé de cryptage et lecture du résumé de la pré-installation . . . . Progression de l’installation et autres activités de configuration . . . . . . . . . Journaux et répertoires pour l’installation dans une configuration à serveur unique . . Configuration de la sécurité . . . . . . . . . . . . . . . . . . . . . Utilisation de runConfig après l’installation de Tivoli Identity Manager . . . . . . Installation facultative d’un module de langue. . . . . . . . . . . . . . . Test des communications du serveur Tivoli Identity Manager . . . . . . . . . . . Communications serveur-agent . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . serveur . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . unique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . .
37 40 41 41 42 43 44 45 46 47 49 50 50 52 54 55 64 64 65 65 65 67
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . . Résolution des incidents de port . . . . . . . . . . . . . . . . . . . . . . . Création de clusters à l’aide de Network Deployment Manager . . . . . . . . . . . . . Feuille de travail relative à l’installation dans une configuration en clusters . . . . . . . . . . Informations de base de données . . . . . . . . . . . . . . . . . . . . . . . Informations sur le serveur d’annuaires . . . . . . . . . . . . . . . . . . . . . Informations sur l’installation de WebSphere Application Server dans une configuration en clusters . Informations sur Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . . Installation du serveur Tivoli Identity Manager . . . . . . . . . . . . . . . . . . . Navigation dans les fenêtres de bienvenue et de licence . . . . . . . . . . . . . . . Sélection du type d’installation et du répertoire d’installation par défaut . . . . . . . . . . Sélection d’une base de données . . . . . . . . . . . . . . . . . . . . . . . Exécution de la séquence d’installation dans une configuration en clusters . . . . . . . . . Spécification de la sécurité globale de WebSphere . . . . . . . . . . . . . . . . . Spécification d’une clé de cryptage et lecture du résumé de la pré-installation . . . . . . . . Progression de l’installation et autres activités de configuration . . . . . . . . . . . . . Journaux et répertoires pour l’installation dans une configuration en clusters . . . . . . . . Configuration de la sécurité . . . . . . . . . . . . . . . . . . . . . . . . Utilisation de runConfig après l’installation de Tivoli Identity Manager . . . . . . . . . . Installation facultative d’un module de langue . . . . . . . . . . . . . . . . . . Définition éventuelle de la persistance de session HTTP . . . . . . . . . . . . . . . Vérification des paramètres du service de transactions. . . . . . . . . . . . . . . . Mise à jour du plug-in du serveur Web . . . . . . . . . . . . . . . . . . . . . . Démarrage des clusters . . . . . . . . . . . . . . . . . . . . . . . . . . . Test des communications du serveur Tivoli Identity Manager . . . . . . . . . . . . . . Communications serveur-agent . . . . . . . . . . . . . . . . . . . . . . . . Ajout ou suppression de membres de cluster . . . . . . . . . . . . . . . . . . . . Extension d’un cluster à l’aide d’un nouvel ordinateur . . . . . . . . . . . . . . . Extension d’un cluster à l’aide du même ordinateur . . . . . . . . . . . . . . . . Suppression d’un membre du cluster . . . . . . . . . . . . . . . . . . . . .
iv
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
. 69 . 71 . 72 . 73 . 73 . 74 . 75 . 76 . 78 . 79 . 81 . 83 . 83 . 88 . 90 . 91 . 100 . 100 . 100 . 101 . 101 . 101 . 101 . 101 . 102 . 103 . 104 . 104 . 105 . 105
Annexe A. Images d’installation sous forme de CD-ROM et de kits de mise à jour . . . 107 Correctif provisoire WebSphere recommandé PQ77521 ne figurant pas sur les CD-ROM ou sur l’image d’installation de la version 4.5.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . Obtention des kits de mise à jour de la version 4.5.1 . . . . . . . . . . . . . . . . . . . . CD-ROM de la version 4.5.0 . . . . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM des modules de langue . . . . . . . . . . . . . . . . . . . . . . . . . . CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Solaris . . . . . CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous Solaris . . . CD-ROM Solaris supplémentaire 1 . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM Solaris supplémentaire 2 . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM Solaris supplémentaire 3 . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM Solaris supplémentaire 4 . . . . . . . . . . . . . . . . . . . . . . . . . CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous AIX . . . . . . CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous AIX . . . . CD-ROM AIX supplémentaire 1 . . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM AIX supplémentaire 2 . . . . . . . . . . . . . . . . . . . . . . . . . . CD-ROM AIX supplémentaire 3 . . . . . . . . . . . . . . . . . . . . . . . . . . CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous HP-UX . . . CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Windows 2000 . . CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous Windows 2000 CD-ROM Windows 2000 supplémentaire 1 . . . . . . . . . . . . . . . . . . . . . . CD-ROM Windows 2000 supplémentaire 2 . . . . . . . . . . . . . . . . . . . . . . CD-ROM Windows 2000 supplémentaire 3 . . . . . . . . . . . . . . . . . . . . . . CD-ROM Windows 2000 supplémentaire 4 . . . . . . . . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . . . . . . .
107 107 108 108 108 109 109 109 110 110 110 110 111 111 111 112 112 112 113 113 113 114
Annexe B. Préparation de l’environnement WebSphere . . . . . . . . . . . . . . 115 Préparation de l’installation de WebSphere Application Server . . . . . . . . . . Vérification de la spécification de l’utilisateur et des groupes de support de messagerie Installation de WebSphere Application Server sous Solaris 9 . . . . . . . . . . Installation de WebSphere Application Server sous AIX 5.2 . . . . . . . . . . Utilisation d’un serveur WebSphere MQ version 5.3 existant . . . . . . . . . . Validation de la disponibilité du port 9090 . . . . . . . . . . . . . . . Configuration des clusters Tivoli Identity Manager . . . . . . . . . . . . . . Installation de WebSphere Application Server Network Deployment . . . . . . . Installation d’IBM HTTP Server et du plug-in du serveur WebSphere. . . . . . . Génération du fichier de configuration du plug-in du serveur Web WebSphere . . . Installation de la version de base sur chaque noeud . . . . . . . . . . . . Ajout de noeuds dans une cellule . . . . . . . . . . . . . . . . . . Redémarrage du noeud . . . . . . . . . . . . . . . . . . . . . . Création d’un cluster . . . . . . . . . . . . . . . . . . . . . . . Vérification de l’exécution de Network Deployment Manager et des agents de noeud . Configuration des paramètres du service de transactions WebSphere Application Server .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
. . . . . . . . . . . . . . . .
115 115 119 119 119 120 120 120 122 123 123 124 125 125 125 126
Annexe C. Remarques sur la sécurité . . . . . . . . . . . . . . . . . . . . . . 129 Sécurité J2EE . . . . . . . . . . . . . . . . . . . . Configuration de la sécurité pour un déploiement à noeud unique . Configuration de la sécurité pour un déploiement à plusieurs noeuds Désactivation de la sécurité J2EE . . . . . . . . . . . . . Autres procédures de configuration du serveur HTTP . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
. . . . .
129 129 132 135 136
Annexe D. Mise à niveau de Tivoli Identity Manager 4.3 vers Tivoli Identity Manager 4.5, puis 4.5.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 139 Avant de commencer . . . . . . . . . . . . . . . . . . . . . . . . . . . Mise à niveau de Tivoli Identity Manager 4.3 à l’aide de WebLogic vers Tivoli Identity Manager 4.5 WebLogic. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Installation de Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server . . . Configuration de la nouvelle installation . . . . . . . . . . . . . . . . . . . . Mise à niveau de la version 4.5 vers la version 4.5.1 . . . . . . . . . . . . . . . .
. . . . à l’aide de . . . . . . . . . . . . . . . .
Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1
. 139 . . . .
140 141 142 143
145
Table des matières
v
Avant de commencer . . . . . . . . . . . . . Mise à niveau d’une configuration à serveur unique . . Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 Mise à niveau d’une configuration en clusters . . . . Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 Mise à niveau de la version 4.5 vers la version 4.5.1 .
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . pour le système de Network pour le système membre . . . . . . . . . . . .
. . . . . . . . . . . . . . . . Deployment . . . . . . . .
. . . . . . . . . . . . . . . . Manager . . . . . . . .
. . . .
146 147 148 149 149 . 151 . 153
Annexe F. Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1 . . . . . . 155 Avant de commencer . . . . . . . . . . . . . . Mise à niveau d’une configuration à serveur unique . . . Mise à niveau d’une configuration en clusters . . . . . Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le
. . . . . . . . . système système
. . . . . . . . . Network membre
. . . . . . . . . . . . . . . . . . . . . . . . Deployment Manager . . . . . . . .
. . . . .
. . . . .
. . . . .
. . . . .
155 156 157 157 158
Annexe G. Désinstallation de Tivoli Identity Manager . . . . . . . . . . . . . . . 161 Avant de commencer . . . . . . . . . . . . . . . . . . Procédure de désinstallation de Tivoli Identity Manager . . . . . . Variable d’environnement WebSphere ORACLE_JDBC_DRIVER_PATH .
Annexe H. Remarques Marques .
.
.
.
.
.
.
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. . .
. 161 . 162 . 163
. . . . . . . . . . . . . . . . . . . . . . . . . . . . 165 .
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
.
. 167
Glossaire . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 169 Index . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175
vi
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Avis aux lecteurs canadiens Le présent document a été traduit en France. Voici les principales différences et particularités dont vous devez tenir compte. Illustrations Les illustrations sont fournies à titre d’exemple. Certaines peuvent contenir des données propres à la France. Terminologie La terminologie des titres IBM peut différer d’un pays à l’autre. Reportez-vous au tableau ci-dessous, au besoin. IBM France
IBM Canada
ingénieur commercial
représentant
agence commerciale
succursale
ingénieur technico-commercial
informaticien
inspecteur
technicien du matériel
Claviers Les lettres sont disposées différemment : le clavier français est de type AZERTY, et le clavier français-canadien de type QWERTY. OS/2 et Windows - Paramètres canadiens Au Canada, on utilise : v les pages de codes 850 (multilingue) et 863 (français-canadien), v le code pays 002, v le code clavier CF. Nomenclature Les touches présentées dans le tableau d’équivalence suivant sont libellées différemment selon qu’il s’agit du clavier de la France, du clavier du Canada ou du clavier des États-Unis. Reportez-vous à ce tableau pour faire correspondre les touches françaises figurant dans le présent document aux touches de votre clavier.
© Copyright IBM Corp. 2004
vii
Brevets Il est possible qu’IBM détienne des brevets ou qu’elle ait déposé des demandes de brevets portant sur certains sujets abordés dans ce document. Le fait qu’IBM vous fournisse le présent document ne signifie pas qu’elle vous accorde un permis d’utilisation de ces brevets. Vous pouvez envoyer, par écrit, vos demandes de renseignements relatives aux permis d’utilisation au directeur général des relations commerciales d’IBM, 3600 Steeles Avenue East, Markham, Ontario, L3R 9Z7. Assistance téléphonique Si vous avez besoin d’assistance ou si vous voulez commander du matériel, des logiciels et des publications IBM, contactez IBM direct au 1 800 465-1234.
viii
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Avant-propos Le présent document explique comment installer et configurer le serveur Tivoli Identity Manager sur un serveur UNIX pour la gestion des ressources à partir d’un point central.
A qui s’adresse ce document Ce document s’adresse aux personnes chargées de l’administration et de la sécurité des systèmes qui installent, mettent à jour ou gèrent des logiciels sur site. On suppose que les lecteurs comprennent les concepts d’administration du système et de la sécurité. Il est également nécessaire de maîtriser les notions d’administration suivantes : v Serveur d’annuaires v Serveur de base de données v Support de messagerie intégrée WebSphere v WebSphere Application Server ou WebLogic v IBM HTTP Server
Publications Pour déterminer les publications qui vous seront éventuellement utiles, consultez les descriptions de la bibliothèque Tivoli Identity Manager, des publications prérequises et des publications connexes. Une fois que vous avez identifié les publications dont vous avez besoin, reportez-vous aux instructions indiquées pour accéder aux publications en ligne.
Bibliothèque Tivoli Identity Manager Les publications de la bibliothèque de documents techniques de Tivoli Identity Manager sont classées selon les catégories suivantes : v Informations sur les versions v v v v v
Assistance utilisateur en ligne Installation du serveur Administration et configuration Suppléments techniques Installation de l’agent
Informations sur les versions : v IBM Tivoli Identity Manager Release Notes Présente les conditions logicielles et matérielles requises pour Tivoli Identity Manager, ainsi que des correctifs, modules de correction et autres informations de support. v Fichier Readme de Tivoli Identity Manager Assistance utilisateur en ligne : v Assistance utilisateur en ligne pour Tivoli Identity Manager Contient des rubriques d’aide en ligne pour toutes les tâches d’administration Tivoli Identity Manager. © Copyright IBM Corp. 2004
ix
Installation du serveur : v IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere Fournit des informations d’installation pour Tivoli Identity Manager. v IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous Windows à l’aide de WebSphere Fournit des informations d’installation pour Tivoli Identity Manager. v IBM Tivoli Identity Manager Server Installation Guide on UNIX using WebLogic Fournit des informations d’installation pour Tivoli Identity Manager. v IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous Windows 2000 à l’aide de WebLogic Fournit des informations d’installation pour Tivoli Identity Manager. Administration et configuration : v IBM Tivoli Identity Manager Policy and Organization Administration Guide Contient des rubriques sur les tâches d’administrationTivoli Identity Manager. v IBM Tivoli Identity Manager - Guide d’utilisation Fournit des informations destinées aux utilisateurs novices de Tivoli Identity Manager. v IBM Tivoli Identity Manager Configuration Guide Fournit des informations pour les configurations Tivoli Identity Manager en clusters ou à serveur unique. Suppléments techniques : v IBM Tivoli Identity Manager Problem Determination Guide Présente des informations complémentaires sur l’identification et la résolution des incidents dans Tivoli Identity Manager. Installation de l’agent : v La bibliothèque de documents techniques de Tivoli Identity Manager contient également un ensemble évolutif de documents spécifiques à chaque plateforme pour le composant Agent d’une implémentation de Tivoli Identity Manager.
Publications relatives aux produits prérequis Pour tirer au mieux parti des informations fournies dans le présent document, vous devez acquérir des connaissances préalables pour Tivoli Identity Manager. Les publications sont accessibles à partir des sites suivants : v WebSphere Application Server http://www.ibm.com/software/webservers/appserv/support.html Remarque : La liste des guides de présentation ci-dessous décrit l’installation et la configuration de WebSphere Application Server et la mise à disposition d’une sécurité supplémentaire. La liste était à jour lors de la réalisation de cette publication, mais il se peut que les publications soient obsolètes. Pour obtenir la liste des informations de ressources recommandées, prenez contact avec le représentant commercial.
x
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
– Guide de présentation IBM : IBM WebSphere Application Server V5.0 System Management and Configuration – Guide de présentation IBM : IBM WebSphere Application Server V5.0 Security v Serveurs de base de données – IBM DB2 http://www.ibm.com/software/data/db2/udb/support.html http://www.ibm.com/software/data/db2 – Oracle http://otn.oracle.com/tech/index.html v Applications serveur d’annuaires – IBM Directory Server http://www.ibm.com/software/network/directory – Sun ONE Directory Server http://wwws.sun.com/software/products/directory_srvr/5.1/index.html v Support de messagerie intégrée WebSphere (ou IBM MQSeries) http://www.ibm.com/software/ts/mqseries v Serveur proxy Web – IBM HTTP Server http://www.ibm.com/software/webservers/httpservers/library.html
Publications connexes Les informations relatives au serveur Tivoli Identity Manager sont disponibles dans les publications suivantes : v La bibliothèque de logiciels Tivoli propose un grand nombre de publications Tivoli sous la forme de livres blancs, de feuilles de données, de modules de présentation, de Redbooks et de lettres d’annonces. La bibliothèque de logiciels Tivoli est disponible à l’adresse suivante : http://www.ibm.com/software/tivoli/library/ v Le Glossaire de logiciels Tivoli inclut les définitions de nombreux termes techniques liés aux logiciels Tivoli. Il est disponible en anglais uniquement via le lien Glossaire situé dans la partie gauche de la page Web Tivoli Software Library, à l’adresse : http://www.ibm.com/software/tivoli/library/
Accès aux publications en ligne Les publications de ce produit sont disponibles en ligne au format PDF (Portable Document Format) et/ou HTML (Hypertext Markup Language) dans la bibliothèque de logiciels Tivoli : http://www.ibm.com/software/tivoli/library Pour rechercher des publications sur le produit dans la bibliothèque, cliquez sur le lien Product manuals situé dans la partie gauche de la page. Recherchez ensuite le nom du produit et cliquez dessus dans la page Tivoli Software Information Center. Les publications sur le produit comprennent des notes sur l’édition, des guides d’installation, des guides d’utilisation, des guides d’administration et des guides de référence destinés aux développeurs. Avant-propos
xi
Remarque : Pour imprimer correctement les publications au format PDF, cochez la case Ajuster au format du papier dans la fenêtre Imprimer d’Adobe Acrobat (disponible en sélectionnant Fichier →Imprimer).
Accessibilité La documentation du produit comprend les fonctions d’accessibilité suivantes : v La documentation est disponible à la fois au format HTML et PDF convertible pour permettre aux utilisateurs de faire appel à des logiciels lecteurs d’écran. v Toutes les images disponibles dans la documentation sont associées à un texte de remplacement pour que les déficients visuels puissent comprendre leurs contenus.
Accès au service de support logiciel IBM Avant de contacter le service de Support logiciel Tivoli, consultez le site d’assistance IBM Tivoli Software en cliquant sur le lien Tivoli support du site Web suivant : http://www.ibm.com/software/support/ Si vous avez besoin d’aide supplémentaire, adressez-vous au service de support logiciel en suivant les méthodes décrites dans le guide IBM Software Support Guide disponible à l’adresse : http://techsupport.services.ibm.com/guides/handbook.html Ce guide fournit les informations suivantes : v Conditions d’inscription et d’admission pour bénéficier du service de support. v Numéros de téléphone et adresses électroniques correspondant au pays où vous vous trouvez. v La liste des informations à recueillir avant de contacter le service de support clientèle.
Conventions utilisées dans ce guide Le présent document de référence utilise des conventions pour des termes et des actions spéciales et pour les commandes et les chemins propres à certains systèmes d’exploitation.
Conventions typographiques Les conventions typographiques suivantes sont utilisées dans le présent guide : Gras
Les commandes en minuscules et celles comportant à la fois des minuscules et des majuscules qui sont difficiles à distinguer du reste du texte, les mots clés, les paramètres, les options, les noms de classe Java et les objets sont en gras.
Italique Les variables, les titres de publication et les phrases ou les mots spéciaux à mettre en évidence sont en italique.
xii
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Espacement fixe Les exemples de code, les lignes de commande, les sorties d’écran, les noms de fichier et de répertoire difficiles à distinguer du reste du texte, les messages système, le texte à saisir et les valeurs des arguments ou les options de commande sont en espacement fixe.
Différences entre les systèmes d’exploitation Le présent document utilise la convention UNIX pour la spécification des variables d’environnement et la notation des répertoires. Lorsque vous utilisez une ligne de commande Windows, remplacez $variable par %variable% dans les variables d’environnement et remplacez les barres obliques (/) par des barres obliques inversées (\) dans les chemins de répertoire. Si vous utilisez le shell bash sur un système Windows, vous pouvez utiliser les conventions UNIX.
Définitions des variables de répertoire HOME Le tableau ci-après contient les définitions par défaut utilisées dans le présent document pour représenter le niveau de répertoire ″HOME″ des divers chemins d’installation du produit. Vous pouvez personnaliser le répertoire d’installation et le répertoire HOME de votre implémentation. Dans ce cas, vous devez remplacer de manière appropriée la définition de chaque variable représentée dans ce tableau. Variable Path ITIM_HOME
Définition par défaut Windows : c:\itim45\ UNIX : /itim45/
WAS_HOME
Windows : C:\Program Files\WebSphere\AppServer\ UNIX : /opt/WebSphere/AppServer/
WAS_NDM_HOME
Windows : C:\Program Files\WebSphere\DeploymentManager\ UNIX : /opt/WebSphere/DeploymentManager/
Avant-propos
xiii
xiv
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 1. Introduction Le présent document décrit l’installation, la configuration initiale et la vérification du serveur Tivoli Identity Manager dans une configuration à serveur unique ou en clusters. Utilisez la documentation d’installation qui correspond au système d’exploitation et à l’application Web de votre système. Il existe également un document Tivoli Identity Manager Server - Guide d’installation pour Windows à l’aide de WebSphere. Les principales étapes d’installation et d’utilisation du serveur Tivoli Identity Manager varient selon si l’installation s’effectue dans une configuration à serveur unique ou en clusters et si un WebSphere Application Server déjà existant est utilisé. Voici un aperçu de la procédure à suivre : 1. Déterminez si votre configuration doit comprendre un serveur unique ou si elle requiert une solution plus évolutive à clusters ou à clusters fonctionnels, comme décrit dans le Chapitre 2, «Présentation de la configuration», à la page 3. 2. Installez et configurez une base de données, selon la procédure décrite dans le Chapitre 3, «Configuration de la base de données», à la page 11. 3. Installez et configurez un serveur d’annuaires, selon la procédure décrite dans le Chapitre 4, «Configuration du serveur d’annuaires», à la page 27. 4. Pour une configuration à serveur unique, installez le serveur Tivoli Identity Manager, selon la procédure décrite dans le Chapitre 5, «Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager», à la page 37. 5. Pour une configuration en clusters, procédez comme suit : v Installez et configurez le support WebSphere Application Server prérequis décrit dans l’Annexe B, «Préparation de l’environnement WebSphere», à la page 115. v Créez des clusters et installez le serveur Tivoli Identity Manager, selon la procédure décrite dans le Chapitre 6, «Installation dans une configuration en clusters : serveur Tivoli Identity Manager», à la page 69. Remarque : Vous devez installer manuellement les kits de mise à jour requis pour une configuration en clusters.
Configuration matérielle et logicielle requise Pour consulter la liste des logiciels et matériels requis, voir IBM Tivoli Identity Manager Release Notes.
Utilisation de l’image d’installation de la version 4.5.1 La version 4.5.1 du serveur Tivoli Identity Manager est livrée sur des CD-ROM pour les nouvelles plateformes (Linux, HP-UX et Windows 2003). Elle est également livrée sous forme de kit de mise à jour pour les plateformes prises en charge par Tivoli Identity Manager 4.5.0 (AIX, Solaris et Windows 2000). Pour plus d’informations, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107.
© Copyright IBM Corp. 2004
1
Mise à niveau d’une version existante de Tivoli Identity Manager Utilisez le programme d’installation du kit de mise à jour de Tivoli Identity Manager version 4.5.1 pour mettre à niveau une version existante de Tivoli Identity Manager version 4.5.0. La procédure de mise à niveau peut varier suivant la version précédente de Tivoli Identity Manager. Pour plus d’informations, reportez-vous aux annexes de la présente publication qui décrivent la mise à niveau de Tivoli Identity Manager.
Installation de Tivoli Identity Manager version 4.5.1 sur un nouvel ordinateur Pour installer Tivoli Identity Manager sur un nouvel ordinateur ne possédant pas d’instance de Tivoli Identity Manager, procédez comme suit : v Pour les nouvelles plateformes, de nouveaux CD-ROM contiennent le programme d’installation, les logiciels intermédiaires, les kits de mise à jour et les fichiers de Tivoli Identity Manager version 4.5.1. v Pour les plateformes prises en charge dans la version 4.5.0, des kits de mise à jour contiennent Tivoli Identity Manager version 4.5.1. Utilisez les CD-ROM de la version 4.5.0 pour obtenir les logiciels intermédiaires, les kits de mise à jour et les fichiers requis.
2
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 2. Présentation de la configuration Les serveurs Tivoli Identity Manager d’un environnement WebSphere Application Server sont organisés dans une configuration à serveur unique ou dans une configuration en clusters. La présente section contient une brève description de haut niveau des options et donne un aperçu des séquences d’implémentation associées. Les chapitres suivants fournissent plus de détails sur l’implémentation. Remarques : 1. Les exemples de configuration de ce chapitre requièrent un nombre d’opérations de planification préalables avant les étapes d’installation et de configuration de ce produit. Pour obtenir d’autres documents décrivant la planification en fonction de vos besoins professionnels, prenez contact avec votre représentant commercial. 2. Pour plus d’informations sur les produits WebSphere Application Server, reportez-vous aux autres documents cités dans la section «Publications relatives aux produits prérequis» à la page x. 3. Des kits de mise à jour sont requis pour la plupart des logiciels intermédiaires utilisés par Tivoli Identity Manager. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes.
Terminologie WebSphere Application Server Les termes suivants décrivent les éléments des configurations WebSphere Application Server : cellule Domaine d’administration géré par un gestionnaire de déploiement. Une cellule est un regroupement logique de noeuds qui permet des opérations d’administration courantes dans un environnement réparti WebSphere Application Server. Elle peut comporter un ou plusieurs clusters. noeud Un noeud est un groupe logique d’un ou plusieurs serveurs d’applications sur un ordinateur physique. Le nom du noeud est unique au sein de la cellule. En général, un nom de noeud est identique au nom d’hôte de l’ordinateur. En d’autres termes, un noeud correspond généralement à un système d’ordinateur physique comportant une adresse IP distincte. serveur d’applications Le serveur d’applications est le composant principal de WebSphere. Le serveur exécute une machine virtuelle Java pour assurer l’environnement d’exécution du code de l’application. Le serveur d’applications fournit des conteneurs qui sont spécialement conçus pour activer l’exécution des composants d’application Java spécifiques. Network Deployment Manager Processus d’administration permettant de centraliser la vue de gestion et le contrôle de tous les éléments d’une cellule répartie WebSphere Application Server, y compris la gestion des clusters. Network Deployment Manager est responsable du contenu des référentiels de chacun des noeuds. Il gère cela en communiquant avec les processus d’agent de chaque noeud de la cellule.
© Copyright IBM Corp. 2004
3
agent de noeud Un agent de noeud gère tous les processus gérés d’un serveur WebSphere Application Server sur un noeud en communiquant avec Network Deployment Manager pour assurer la coordination et la synchronisation de la configuration. Un agent de noeud exécute des opérations de gestion pour le compte de Network Deployment Manager. Il représente le noeud dans la cellule de gestion. Les agents de noeud sont installés avec WebSphere Application Server base ; cependant, ils ne sont requis que lorsque le noeud est ajouté dans une cellule d’un environnement de déploiement de réseau. cluster Regroupement logique d’un ou plusieurs processus de serveur d’applications fonctionnellement identiques. Un cluster facilite le déploiement, la configuration, l’équilibrage de charge et la redondance en cas de rétromigration. Un cluster est un ensemble de serveurs fonctionnant conjointement sous la forme d’un système unique pour garantir la disponibilité permanente des applications et ressources vitales pour les clients. Les clusters assurent une évolutivité. Pour plus d’informations, consultez les autres documentations fournies éventuellement par le service clientèle et décrivant le regroupement vertical et horizontal de clusters dans l’environnement réparti WebSphere Application Server. membre de cluster Instance de WebSphere Application Server dans un cluster. plug-in du serveur Web WebSphere Le plug-in du serveur Web WebSphere est un composant installé sur un serveur HTTP pour la réception des requêtes entrantes et le transfert de celles-ci vers le conteneur Web approprié dans un cluster. Le comportement du plug-in est régi par le fichier plugin-cfg.xml. Le plug-in permet au serveur Web de communiquer au serveur d’applications les demandes de contenu dynamique, par exemple, des servlets.
4
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Configurations à serveur unique Une configuration à serveur unique peut installer WebSphere Application Server base et d’autres applications requises sur un ordinateur physique. Le serveur Tivoli Identity Manager assure l’interface utilisateur et le traitement de workflow.
Figure 1. Configuration à serveur unique sur un ordinateur physique
La configuration sur un seul ordinateur requiert les éléments suivants : v Une base de données stockant des informations de transaction v Un serveur d’annuaires v WebSphere Application Server base v Un serveur Tivoli Identity Manager v Un serveur HTTP, tel que IBM HTTP Server et un plug-in du serveur Web WebSphere. Pour consulter une définition de base du plug-in du serveur Web WebSphere, voir «Terminologie WebSphere Application Server» à la page 3. Pour plus d’informations sur la configuration du plug-in du serveur Web WebSphere, voir «Autres procédures de configuration du serveur HTTP» à la page 136. Vous avez également la possibilité d’installer l’instance de WebSphere Application Server base et du serveur Tivoli Identity Manager sur un ordinateur physique et d’installer toutes les autres applications requises sur un ou plusieurs ordinateurs supplémentaires. Remarque : Pour consulter les autres étapes de configuration manuelle requises si vous installez IBM Directory Server version 5.1 sur le même poste que WebSphere Application Server, voir «Utilisation de la version 5.1 et de WebSphere Application Server sur le même ordinateur» à la page 33.
Chapitre 2. Présentation de la configuration
5
Figure 2. Configuration à serveur unique sur plusieurs ordinateurs physiques
L’ordinateur sur lequel le serveur Tivoli Identity Manager est installé requiert les éléments suivants : v WebSphere Application Server base v Un pilote JDBC (client de base de données) Les autres ordinateurs sont dotés des éléments suivants : v Une base de données stockant des informations de transaction v Un serveur d’annuaires v Un serveur HTTP, tel que IBM HTTP Server et le plug-in du serveur Web WebSphere Pour plus d’informations, voir Chapitre 5, «Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager», à la page 37.
Configurations en clusters pour Tivoli Identity Manager Les configurations en clusters pour Tivoli Identity Manager définissent un des éléments suivants : v «Configuration à cluster unique» à la page 8 v «Configuration en cluster fonctionnel» à la page 9 Remarque : Dans un environnement à clusters (un cluster classique ou fonctionnel), le nom du répertoire d’installation doit être identique pour l’ensemble des membres du cluster. Spécifiez un répertoire identique pour éviter par la suite les difficultés d’exécution lors de la reconnaissance des certificats ou pendant les activités HR Feed sur différents ordinateurs d’un même cluster. Spécifiez par exemple le répertoire /itim45 sur tous les ordinateurs d’un même cluster. En outre, sur chaque noeud, les fichiers d’alimentation des données DSML et les fichiers de certificat doivent se trouver dans le même répertoire.
6
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Pour plus d’informations sur la configuration des clusters, voir «Création de clusters à l’aide de Network Deployment Manager» à la page 72. Pour obtenir les niveaux d’édition et les spécifications de kit de mise à jour (fix pack), voir IBM Tivoli Identity Manager Release Notes. Remarques : 1. Dans les figures suivantes, chaque forme de boîte représente un noeud WebSphere sur un ordinateur physique. Il est conseillé de créer un seul noeud par ordinateur. 2. Si vous installez IBM Directory Server version 5.1 sur le même poste que WebSphere Application Server, voir «Utilisation de la version 5.1 et de WebSphere Application Server sur le même ordinateur» à la page 33 qui décrit les autres étapes manuelles requises.
Niveaux du serveur Tivoli Identity Manager Comme fourni par le serveur Tivoli Identity Manager, un niveau est un sous-ensemble de fonctions, telles que les fonctions gérant l’activité de l’interface utilisateur et les fonctions gérant les opérations de workflow. Le serveur Tivoli Identity Manager peut être installé sous la forme d’un serveur à plusieurs niveaux permettant d’allouer la fonction fournie par chaque niveau à des clusters distincts d’une configuration en cluster fonctionnel. Le serveur Tivoli Identity Manager fournit les niveaux suivants : Interface utilisateur (UI) Assure la fonction de traitement d’interface utilisateur, y compris les boîtes de dialogue et les formulaires permettant à un large éventail d’utilisateurs de gérer les fonctionnalités fournies par le serveur Tivoli Identity Manager. Pour plus d’informations sur l’interface utilisateur, consultez le document IBM Tivoli Identity Manager Policy and Organization Administration Guide. Workflow (WF) Assure la fonction de traitement de workflow. Un workflow est un processus par lequel une demande est approuvée, refusée ou envoyée pour exécution. Pour plus d’informations sur le traitement de workflow, consultez le document IBM Tivoli Identity Manager Policy and Organization Administration Guide. Voici les options d’installation : v Serveur unique v Cluster unique ou cluster fonctionnel : dans une installation à cluster unique, les deux niveaux sont installés sur tous les serveurs d’applications d’un membre de cluster. Chaque membre de cluster fonctionne comme l’équivalent d’un serveur unique Tivoli Identity Manager. Dans un cluster fonctionnel, le niveau d’interface utilisateur (UI) est installé sur un cluster et le niveau de workflow (WF) sur un autre cluster. La combinaison des fonctionnalités des deux clusters fournit l’intégralité des fonctions de Tivoli Identity Manager.
Chapitre 2. Présentation de la configuration
7
Configuration à cluster unique Une configuration relative à un cluster unique indique un groupe de serveurs d’applications WebSphere. Les deux niveaux Tivoli Identity Manager (interface utilisateur et workflow) s’exécutent sur le même serveur WebSphere Application Server pour tous les noeuds du cluster. La configuration indique Network Deployment Manager sur un seul ordinateur. Les autres applications sont configurées sur des ordinateurs supplémentaires.
Figure 3. Configuration à cluster unique sur plusieurs ordinateurs physiques
Description de la configuration : v Sur l’ordinateur doté de Network Deployment Manager, installez les éléments suivants : – Network Deployment Manager WebSphere – Un pilote JDBC (client de base de données) v Sur chaque membre du cluster, installez les éléments suivants : – WebSphere Application Server – Le serveur Tivoli Identity Manager. Installé dans cette configuration, le serveur Tivoli Identity Manager fournit des niveaux d’interface utilisateur et de workflow combinés. – Un pilote JDBC (client de base de données)
8
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
v Sur un ou plusieurs ordinateurs supplémentaires ne figurant pas dans le cluster, installez les éléments suivant : – Une base de données stockant des informations de transaction – Un serveur d’annuaires – Un serveur HTTP, tel que IBM HTTP Server et un plug-in du serveur Web WebSphere. Pour plus d’informations sur ce serveur, consultez la documentation fournie par IBM HTTP Server. Pour consulter une définition de base du plug-in du serveur Web WebSphere, voir «Terminologie WebSphere Application Server» à la page 3. Pour plus d’informations sur la configuration du plug-in du serveur Web WebSphere, voir «Autres procédures de configuration du serveur HTTP» à la page 136.
Configuration en cluster fonctionnel Une configuration relative à un cluster fonctionnel place Network Deployment Manager sur un seul ordinateur. Les autres applications sont configurées dans des clusters distincts sur des ordinateurs supplémentaires. Le niveau d’interface utilisateur du serveur Tivoli Identity Manager est configuré sur les noeuds d’un seul cluster et le niveau WF est configuré sur les noeuds d’un autre cluster distinct.
Figure 4. Configuration en cluster fonctionnel
Description de la configuration : v Sur l’ordinateur doté de Network Deployment Manager, installez les éléments suivants : – Network Deployment Manager WebSphere – Un pilote JDBC (client de base de données)
Chapitre 2. Présentation de la configuration
9
v Sur chaque membre de chaque cluster, installez les éléments suivants : – WebSphere Application Server – Le serveur Tivoli Identity Manager Dans le cluster de l’interface utilisateur, les instances du serveur Tivoli Identity Manager n’assurent que le traitement de l’interface utilisateur. Dans le cluster de workflow, les instances du serveur Tivoli Identity Manager n’assurent que le traitement de workflow. – Un pilote JDBC (client de base de données) v Sur un ou plusieurs ordinateurs supplémentaires ne figurant pas dans un cluster, installez les éléments suivants : – Une base de données stockant des informations de transaction – Un serveur d’annuaires – IBM HTTP Server et un plug-in du serveur Web WebSphere
Service de messages Java et autres processus serveur D’autres processus serveur s’exécutent dans un environnement WebSphere Application Server, tel que le service de messages Java (désigné par processus jmsserver ou serveur JMS) qui assure le support de messagerie intégrée WebSphere. Remarque : Le support de messagerie intégrée WebSphere est requis pour l’activation de Tivoli Identity Manager afin d’échanger des informations avec d’autres applications, d’envoyer et de recevoir des données sous forme de messages. Pour plus d’informations, consultez la documentation WebSphere Application Server qui décrit le support de messagerie intégrée WebSphere ou WebSphere MQ.
Limites de l’environnement WebSphere à l’aide de Tivoli Identity Manager Pour utiliser Tivoli Identity Manager avec le maximum d’efficacité dans un environnement WebSphere, respectez les limites suivantes : v Tivoli Identity Manager part du principe qu’un cluster est homogène en ce qui concerne le système d’exploitation. Pour éviter les incidents au niveau des communications sécurisées et de la configuration de certificat, il est conseillé de ne pas utiliser plusieurs types de système d’exploitation dans un cluster Tivoli Identity Manager. v Dans un cluster fonctionnel, ne placez pas des membres de cluster de l’interface utilisateur et des clusters Workflow sur le même ordinateur. v S’il existe plusieurs instances de WebSphere Application Server sur le même ordinateur, seuls les serveurs d’une de ces instances peuvent correspondre à des membres de cluster Tivoli Identity Manager. v WebSphere Application Server permet d’installer Network Deployment Manager et un membre de cluster sur le même ordinateur. Assurez-vous que l’ordinateur est doté de la mémoire, de la vitesse et de l’espace disponible requis pour la charge supplémentaire.
10
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 3. Configuration de la base de données Le présent chapitre décrit la configuration d’une base de données utilisée avec le serveur Tivoli Identity Manager. Pour plus d’informations sur les éditions de base de données prises en charge et sur les correctifs requis, voir IBM Tivoli Identity Manager Release Notes. Pour plus de détails sur IBM DB2, consultez la documentation qui est disponible sur le site http://www.ibm.com/software/data/db2/udb/support.html. Remarques : 1. Les paramètres IBM DB2 décrits dans ce chapitre sont des paramètres initiaux qui requièrent un ajustement lors de l’exécution. 2. Dans le présent chapitre, le client d’exécution IBM DB2 est désigné par pilote de connectivité de base de données Java de type 2 ou pilote JDBC. 3. Ces informations ne remplacent pas la documentation plus complète sur les conditions prérequises, livrée avec la base de données. Pour plus de détails sur les informations à connaître, voir les publications citées dans «Avant-propos» à la page ix, ainsi que celles fournies par le produit. La présente section contient les rubriques suivantes : v «Configuration d’IBM DB2» v «Installation et configuration d’Oracle pour Tivoli Identity Manager» à la page 18
Configuration d’IBM DB2 Vous devez vous connecter au serveur IBM DB2 en tant qu’administrateur afin d’effectuer les étapes suivantes : v «Confirmation des communications et configuration du serveur» v «Configuration du pilote JDBC IBM DB2» à la page 15
Confirmation des communications et configuration du serveur Pour préparer le serveur IBM DB2, procédez comme suit : v «Confirmation des communications TCP/IP» v «Configuration du serveur IBM DB2» à la page 12
Confirmation des communications TCP/IP Avant de commencer, confirmez les communications TCP/IP sur le serveur IBM DB2. Procédez comme suit : Remarque : On part du principe que la configuration utilise plusieurs ordinateurs dont un est doté du serveur IBM DB2. Si la base de données se trouve sur le même ordinateur que le serveur IBM DB2, il n’est pas nécessaire de configurer les communications TCP/IP. 1. Entrez su -
, où désigne le propriétaire d’instance IBM DB2, par exemple, db2inst1. 2. Exécutez la commande suivante dans la fenêtre de commande DB2 : db2set -all DB2COMM
© Copyright IBM Corp. 2004
11
3. Si une entrée tcpip (indiquant la communication TCP/IP) ne figure pas dans la liste renvoyée par la commande db2set -all DB2COMM, exécutez la commande ci-dessous en indiquant tcpip et toutes les autres valeurs qui ont été renvoyées dans la liste fournie par la commande. db2set DB2COMM=tcpip,
Par exemple, si la commande db2set -all DB2COMM renvoie des valeurs telles que npipe et ipxspx dans la liste, indiquez de nouveau ces valeurs lorsque vous exécutez la commande db2set une seconde fois : db2set DB2COMM=tcpip,npipe,ipxspx
Configuration du serveur IBM DB2 Pour configurer le serveur, procédez comme suit : Remarque : Si le serveur IBM DB2 réside sous AIX, veillez à affecter la valeur ON à EXTSHM sur l’ordinateur sur lequel le serveur Tivoli Identity Manager est installé. L’affectation de la valeur ON à EXTSHM permet d’augmenter le nombre de segments de mémoire partagée auxquels un processus unique peut être associé. EXTSHM doit être exporté dans le shell de lancement de l’application client et également dans le shell d’exécution de db2start. Pour plus d’informations sur la définition de cette variable pour le client, voir «Configuration du pilote JDBC IBM DB2» à la page 15. Avant de démarrer le serveur IBM DB2, entrez les éléments suivants pour configurer la variable d’environnement EXTSHM pour plusieurs connexions JDBC : export EXTSHM=ON db2set DB2ENVLIST=EXTSHM db2set -all
En outre, ajoutez les lignes suivantes dans le fichier sqllib/db2profile : EXTSHM=ON export EXTSHM
1. Créez une base de données portant un nom tel que itimdb pour Tivoli Identity Manager, ainsi qu’un pool de mémoire tampon intitulé enrolebp. Remarque : Vous pouvez indiquer n’importe quel nom pour la base de données. Le nom du pool de mémoire tampon doit être enrolebp. a. Entrez su - , où désigne le propriétaire d’instance IBM DB2, par exemple, db2inst1. b. Dans la fenêtre de commande, exécutez les commandes suivantes pour créer la base de données : db2 create db itimdb using codeset UTF-8 territory US db2 update db cfg for itimdb using applheapsz valeur_mémoire_dynamique db2 update db cfg for itimdb using app_ctl_heap_sz 512
où valeur_mémoire_dynamique désigne un entier (en kilo-octets), tel que 1024, représentant le nombre de pages de 4 ko. Remarque : Affectez à applheapsz une valeur à peu près égale à la moitié de la valeur de la mémoire réelle de l’ordinateur sur lequel la base de données est installée, en tenant compte de la mémoire requise par d’autres applications.
12
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
c. Configurez le nom de service de l’instance pour l’accès au pilote JDBC éloigné. Par exemple, entrez : db2 update dbm cfg using svcename ,
où désigne une valeur telle que DB2_db2inst1. d. Assurez-vous que le nom de service approprié est ajouté dans le fichier suivant : v UNIX : /etc/services v Windows : %SYSTEMROOT%\system32\drivers\etc\services Par exemple, entrez : db2 get dbm cfg
Les valeurs peuvent être similaires aux suivantes : v DB2_db2inst1 : 50000/tcp v DB2_db2inst1i : 50001/tcp Vous devez entrer le numéro de port correspondant au nom de service. e. Entrez la commande ci-dessous pour confirmer la connexion. Si cette dernière aboutit, des informations de connexion à la base de données sont renvoyées : db2 connect to itimdb
f. Créez le pool de mémoire tampon : db2 create bufferpool enrolebp size -1 pagesize 32k
2. Assurez-vous que l’attribut de lecture reproductible est activé à l’aide du paramètre DB2_RR_TO_RS=YES. Procédez comme suit : a. Entrez : db2set -all
b. Vérifiez la réponse pour vous assurer que le paramètre DB2_RR_TO_RS=YES est présent. c. Si l’entrée est introuvable, entrez les éléments suivants pour affecter la valeur YES : db2set DB2_RR_TO_RS=YES
d. Pour vérifier que le paramètre est désormais présent, entrez de nouveau : db2set -all
3. Redémarrez IBM DB2. db2stop # (Remarque : Entrez la commande "db2 force application all" # si la saisie de db2stop échoue) db2start
Création d’un utilisateur nommé enrole sur le serveur IBM DB2 Sur le serveur IBM DB2, créez un utilisateur nommé enrole. Procédez comme suit : v Sous AIX, effectuez les opérations suivantes en tant que root : 1. Lancez l’outil de gestion système à l’aide de smit ou smitty. 2. Sélectionnez Sécurité & Utilisateurs –> Utilisateurs – Ajout d’un utilisateur. 3. Dans la zone Nom utilisateur, entrez enrole. 4. Appuyez sur Entrée pour créer l’utilisateur et revenir à l’écran Utilisateurs. 5. Sélectionnez Modification du mot de passe d’un utilisateur. 6. Lorsque vous êtes invité à entrer le nom de l’utilisateur, entrez une valeur telle que enrole. A présent, vous avez attribué l’ID utilisateur enrole avec le mot de passe enrole.
Chapitre 3. Configuration de la base de données
13
7. Lorsque vous êtes invité à modifier le mot de passe de l’utilisateur, entrez le mot de passe que vous avez défini précédemment pour l’utilisateur de base de données. 8. Quittez l’outil de gestion système. 9. Testez l’accès utilisateur. Ouvrez une session Telnet sur l’ordinateur sur lequel le serveur IBM DB2 est en cours d’exécution. Vérifiez que vous pouvez vous connecter avec le nouvel ID utilisateur sans que le mot de passe soit réinitialisé. v Sous Solaris, effectuez les opérations suivantes en tant que root : 1. Lancez admintool. 2. Cliquez sur Parcourir –> Utilisateurs dans la barre des tâches. 3. Cliquez sur Editer –> Ajouter. 4. Dans la boîte de dialogue Utilisateurs - Ajout, entrez enrole dans la zone Nom utilisateur. Dans le menu de sélection de mot de passe, sélectionnez Mot de passe. 5. Dans la boîte de dialogue de définition du mot de passe utilisateur, entrez le mot de passe, puis confirmez-le. Cliquez sur OK. 6. Dans la zone de répertoire home, entrez un chemin d’accès tel que /export/home/enrole. Cliquez sur OK. 7. Pour quitter l’outil, cliquez sur Fichier –> Quitter dans la barre des tâches. 8. Testez l’accès utilisateur. Ouvrez une session Telnet sur l’ordinateur sur lequel le serveur IBM DB2 est en cours d’exécution. Vérifiez que vous pouvez vous connecter avec le nouvel ID utilisateur sans que le mot de passe soit réinitialisé. v Sous Windows 2000, effectuez les opérations suivantes en tant qu’Administrateur : 1. Accédez à l’outil Gestion de l’ordinateur en cliquant sur Démarrer –> Paramètres –> Panneau de configuration –> Outils d’administration –> Gestion de l’ordinateur. 2. Cliquez sur Utilisateurs et groupes locaux –> Utilisateurs. Remarque : Il n’est pas nécessaire d’ajouter l’utilisateur enrole à un groupe. 3. Sélectionnez Action –> Nouvel utilisateur. 4. Dans la zone de nom d’utilisateur, entrez enrole. 5. Dans la zone de mot de passe, entrez un mot de passe pour l’utilisateur de base de données. 6. Désélectionnez l’option L’utilisateur doit changer de mot de passe à la prochaine ouverture de session. 7. Cochez la case Le mot de passe n’expire jamais. 8. Cliquez sur Créer.
Création d’un utilisateur nommé enrole sur chaque ordinateur du cluster Sur chaque ordinateur faisant partie du cluster Tivoli Identity Manager, créez un utilisateur nommé enrole. Aucun droit spécial n’est requis pour cet utilisateur. Vérifiez qu’aucun changement de mot de passe n’est nécessaire lors de la prochaine ouverture de session et que le mot de passe n’arrive jamais à expiration.
14
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Configuration du pilote JDBC IBM DB2 IBM DB2 nécessite un pilote de connectivité de base de données Java de type 2 (pilote JDBC) comme client de base de données. Le pilote JDBC sert à connecter une application Java à une base de données IBM DB2 qui est en cours d’exécution sur la même machine ou sur une machine éloignée. Dans un déploiement de Tivoli Identity Manager en clusters, le pilote JDBC permet à tous les serveurs Tivoli Identity Manager de communiquer avec la source de données et de partager des informations. Pour plus de détails, consultez la documentation IBM DB2. Remarques : 1. Le pilote JDBC installé par IBM DB2 est appelé client d’exécution IBM DB2. 2. Pour vous assurer que les connexions aux bases de données sont correctement libérées sur les plateformes Intel, utilisez des prises TCP. N’utilisez pas de canal de communication nommé pour la méthode de connexion sur le client IBM DB2. La méthode de canaux de communication nommés comporte un nombre limite de connexions entraînant des erreurs de base de donnée Tivoli Identity Manager. Si IBM DB2 n’est pas installé sur l’ordinateur cible, vous devez installer et configurer le pilote JDBC et le kit de mise à jour requis sur les postes cibles ci-dessous. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. v L’ordinateur sur lequel Network Deployment Manager est installé v Chaque membre de cluster sur lequel le serveur Tivoli Identity Manager doit être installé v Sur l’ordinateur qui est doté d’une installation à serveur unique dans laquelle IBM DB2 est éloigné. Sur chaque cible, procédez comme suit : 1. Installez et configurez le pilote JDBC et le kit de mise à jour requis. Remarques : a. AIX uniquement : Si le pilote JDBC réside sous AIX, assurez-vous que vous avez également affecté à la variable d’environnement EXTSHM la valeur ON. Avant de démarrer WebSphere Application Server sous AIX, entrez les éléments suivants dans une session client : export EXTSHM=ON
b. Vous pouvez ajouter export EXTSHM=ON au profil IBM DB2. Lorsque le profil est configuré, la variable d’environnement est définie. 2. Veillez à configurer le profil IBM DB2 à l’aide d’un répertoire db2InstanceHome valide. Le répertoire par défaut est le suivant : v AIX, Linux et HP-UX : /home/db2inst1 v Solaris : /export/home/db2inst1 Pour configurer le profil, entrez la commande suivante dans une fenêtre de commande IBM DB2 : . /db2InstanceHome/sqllib/db2profile
Remarque : Le profil IBM DB2 doit être configuré à chaque démarrage de WebSphere Application Server. Pour cela, entrez cette commande dans le fichier .profile. Pour vérifier que le profil IBM DB2 a correctement été configuré, entrez : set | grep db2 Chapitre 3. Configuration de la base de données
15
L’écran résultant est similaire au suivant : CLASSPATH=/home/db2inst1... DB2DIR=/usr/lpp/db2_07_01 DB2INSTANCE=db2inst1
3. Cataloguez la base de données en procédant comme suit : a. Ouvrez une fenêtre de commande IBM DB2. Entrez su - où désigne le propriétaire d’instance IBM DB2, par exemple, db2inst1. b. Dans la fenêtre de commande du client, exécutez la commande suivante sur une seule ligne : db2 catalog tcpip node nomhôte_noeuddb2 remote nomhôte_serveurdb2 server nom-service|numéro_port
où : node nomhôte_noeuddb2 Alias local du noeud à cataloguer. Il s’agit du nom d’hôte de l’ordinateur sur lequel réside la base de données. Cette valeur définie par l’utilisateur représente le nom de noeud IBM DB2 interne. Remarque : La valeur de nomhôte_noeuddb2 ne peut pas dépasser huit caractères. remote nomhôte_serveurdb2 Nom d’hôte du noeud sur lequel réside IBM DB2. Le nom d’hôte correspond au nom du noeud qui est reconnu par le réseau TCP/IP. Par exemple, le nom est db2server2host. server nom-service|numéro_port Indique le nom de service ou le numéro de port de l’instance de gestionnaire de base de données du serveur. La valeur par défaut du numéro de port IBM DB2 est 50000. Repérez le numéro de port en cours dans le fichier /etc/services de l’ordinateur sur lequel réside le serveur IBM DB2. Le numéro de port du client et du serveur doivent être concordants. Si un numéro de port est indiqué, il n’est pas nécessaire de préciser un nom de service dans le fichier services TCP/IP local. c. Entrez la commande suivante pour cataloguer la base de données : db2 catalog database itimdb as itimdb at node noeuddb2_nomhôte
4. Pour vérifier que le catalogage a abouti, entrez : db2 connect to itimdb
16
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Configuration d’IBM DB2 versions 7.1 et 7.2 pour un pilote JDBC de type 2 Remarque : IBM DB2 Fix Pack 3 permet la migration d’IBM DB2 version 7.1 vers la version 7.2. Pour plus d’informations sur le kit de mise à jour (fix pack) requis, voir IBM Tivoli Identity Manager Release Notes. Pour IBM DB2 versions 7.1 et 7.2, vous devez configurer manuellement le pilote JDBC de type 2. Procédez comme suit sur le serveur IBM DB2 : 1. Vérifiez que vous êtes connecté en tant qu’administrateur IBM DB2. 2. Configurez IBM DB2 pour utiliser le pilote JDBC de type 2, en procédant comme suit : a. Entrez su - , où désigne le propriétaire d’instance IBM DB2. b. Arrêtez tous les services IBM DB2 en entrant : db2 force applications all db2stop db2admin stop
c. Ouvrez une invite de commande Windows et exécutez . //java12/usejdbc2, où est remplacé par le répertoire sur lequel vous avez installé IBM DB2. Remarque : Veillez à appeler la commande usejdbc2 à l’aide de la spécification ″. ″ (un point suivi d’un espace) de sorte que la modification de la variable d’environnement CLASSPATH affecte le shell en cours. Une erreur se produit si vous omettez la spécification ″. ″ (un point suivi d’un espace) lorsque vous appelez la commande usejdbc2. Par exemple, sous AIX, entrez : . /usr/lpp/db2_07_01/java12/usejdbc2
Sous UNIX, vérifiez également que la variable d’environnement CLASSPATH contient la ligne suivante : /home/db2inst1/sqllib/java12/db2java.zip
d. Entrez : su - db2start db2admin start
3. Vérifiez la variable d’environnement CLASSPATH pour vous assurer que le pilote de type 2 est en cours d’utilisation.
Chapitre 3. Configuration de la base de données
17
Configuration du profil IBM DB2 sur chaque ordinateur membre du cluster Sous AIX, Linux, HP-UX et Solaris, vous devez configurer le profil IBM DB2 sur chaque ordinateur membre du cluster pour vous assurer que Tivoli Identity Manager peut communiquer avec la base de données. Sur chaque ordinateur membre du cluster, procédez comme suit : 1. Ajoutez la ligne ci-dessous au fichier .profile de l’utilisateur root. Cela garantit la configuration automatique du profil IBM DB2 chaque fois que le noeud démarre. Par exemple, si votre shell de connexion par défaut est ksh, entrez : . /sqllib/db2profile
Remarque : Cette étape est fonction de votre shell de connexion par défaut. Utilisez la séquence appropriée pour votre shell. 2. Déconnectez-vous et connectez-vous ou démarrez un nouveau shell de commandes. 3. Assurez-vous que la variable d’environnement DB2INSTANCE est définie. Pour ce faire, entrez : echo $DB2INSTANCE
4. Redémarrez l’agent de noeud.
Exemple : Extension des valeurs pour DB2 Voici un exemple de définition de valeurs plus élevées pour IBM DB2 : db2 db2 db2 db2 db2 db2
update database configuration for itimdb update database configuration for itimdb update database configuration for itimdb update database configuration for itimdb alter bufferpool ibmdefaultbp size 14750 alter bufferpool enrolebp size 13240
using using using using
dbheap 1200 applheapsz 2048 maxappls 60 app_ctl_heap_sz 1024
Si la valeur d’applheapsz est trop faible, des erreurs de saturation de mémoire risquent de se produire lorsqu’un grand nombre d’utilisateurs est chargé. Par exemple, il se peut qu’un fichier journal contienne l’instruction suivante : Not enough storage available for processing the sql statements.
Pour ajouter de l’espace mémoire, affectez à la taille de mémoire dynamique de l’application IBM DB2 une valeur plus élevée. su - db2inst1 db2 force applications all db2stop db2 terminate db2 update db cfg for itimdb using applheapsz 2048 db2start
Remarque : Sous Windows, ouvrez une fenêtre db2cmd pour entrer les commandes.
Installation et configuration d’Oracle pour Tivoli Identity Manager La présente section décrit les procédures de pré-installation et les étapes de configuration postérieures à l’installation d’Oracle dans le cadre de Tivoli Identity Manager.
18
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Dans tous les cas, consultez le guide d’installation d’Oracle pour plus d’informations. Remarque : Lors de l’installation d’Oracle, vous devez inclure l’option JServer dans le cadre de l’installation. Si vous choisissez une installation standard d’Oracle, l’option JServer est incluse. Si vous choisissez une installation personnalisée d’Oracle, assurez-vous que l’option JServer est sélectionnée pour l’installation. Pour Oracle 9i, vous devez activer JVM (JServer) lorsque vous créez l’instance de base de données ; si vous ne le faites pas, les transactions de Tivoli Identity Manager échoueront.
Préparation de l’installation d’Oracle sous AIX Avant d’installer Oracle sur un système AIX, effectuez les procédures suivantes : 1. Connectez-vous au système AIX en tant qu’utilisateur root. 2. Assurez-vous que les ensembles de fichiers suivants sont installés sur le système AIX : v bos.adt.base v bos.adt.libm Le programme d’installation du produit Oracle établit des liens avec des bibliothèques locales pour créer des fichiers exécutables Oracle. Sans les ensembles de fichiers, les liens échouent et Oracle ne s’installe pas ou ne s’exécute pas correctement. Vous pouvez installer ces ensembles de fichiers à partir du CD-ROM d’outils de développement AIX. 3. Vérifiez que le système contient l’espace disque disponible requis pour les répertoires suivants : v /usr : 3 Go v /var : 300 Mo v /tmp : 2 Go Pour AIX, le répertoire d’installation Oracle par défaut est /usr. Remarques : a. Pour déterminer l’espace disque disponible, entrez la commande suivante : df - Ivk
Les valeurs générées sont indiquées en unités de 1024 octets. b. Pour modifier la taille des répertoires /usr ou /var à l’aide de l’utilitaire SMIT ou SMITTY, accédez aux fenêtres suivantes : Gestion de la mémoire –> Systèmes de fichiers –> Ajout/modification/affichage/retrait de systèmes de fichiers –> Systèmes de fichiers JFS –> Modif/affich caractéristiques d’un système de fichiers JFS –> /usr –> TAILLE du système de fichiers (en blocs de 512 octets). 4. Créez un système de fichiers sur CD-ROM, si celui-ci n’est pas déjà présent, à l’aide de l’utilitaire SMITTY : a. Entrez $ mkdir /cdrom à partir de la console ou de la ligne de commande. b. Entrez $ smitty crcdrfs à partir de la console ou de la ligne de commande.
Chapitre 3. Configuration de la base de données
19
Le menu suivant apparaît : Ajout d’un système de fichiers CD-ROM Entrez ou sélectionnez des valeurs dans les zones d’entrée. Après avoir effectué vos modifications, appuyez sur Entrée. [Zones d’entrée] * NOM UNITE + * POINT DE MONTAGE [] Montage automatique au démarrage du système ? non +
c. Sélectionnez une unité de CD-ROM en appuyant sur F4, en choisissant une unité et en appuyant sur Entrée. d. Appuyez de nouveau sur Entrée pour créer le système de fichiers. Quittez l’utilitaire SMITTY en appuyant sur F10 lorsque la commande de création est terminée. e. Montez le répertoire cdrom à l’aide de la commande suivante : mount /cdrom
5. Créez des points de montage à utiliser avec les bases de données Oracle : $ mkdir /u01 $ mkdir /u02
6. Définissez les droits d’accès aux points de montage afin de permettre au compte utilisateur Oracle d’y accéder en écriture lors de l’installation : $ chmod 777 /u01 $ chmod 777 /u02
7. Utilisez SMIT pour créer deux groupes utilisateur, un intitulé dba et l’autre oper. 8. Utilisez SMIT pour créer un utilisateur appelé oracle. Effectuez les étapes ci-dessous pour le nouveau compte utilisateur. a. Paramétrez le groupe principal du compte sur le groupe dba que vous avez créé. b. Affectez au répertoire HOME du compte la valeur /home/oracle. c. Affectez au shell de connexion (Programme initial) la valeur /bin/sh. Le compte Oracle exécute le programme d’installation. Ce compte doit être utilisé uniquement pour l’installation et la gestion d’Oracle. 9. Vérifiez qu’un chemin de fichier de /usr/lbin existe et qu’il est inclus dans la variable PATH du compte utilisateur Oracle. Vous pouvez définir ce chemin en éditant le fichier /home/oracle/.profile. 10. Créez le fichier oratab en exécutant le script oratab.sh qui se trouve dans le répertoire orainst du CD-ROM. $ ./oratab.sh
11. Connectez-vous au système en tant qu’utilisateur oracle : $ su - oracle
12. Affichez les paramètres umask du compte oracle. $ umask
Le paramètre umask doit avoir pour valeur 022. Si le paramètre umask du compte n’a pas pour valeur 022, définissez-le à l’aide de la commande suivante : $ umask 022
20
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
13. Editez le fichier .profile, puis ajoutez les valeurs de variable d’environnement suivantes : v Oracle 8i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/8.1.7; export ORACLE_HOME LIBPATH=$ORACLE_HOME/lib; export LIBPATH LD_LIBRARY_PATH=$ORACLE_HOME/lib:$ORACLE_HOME/network/lib; export LD_LIBRARY_PATH ORACLE_SID=or1; export ORACLE_SID ORACLE_TERM=vt100; export ORACLE_TERM
v Oracle 9i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/9.2.0.0.0; export ORACLE_HOME LIBPATH=$ORACLE_HOME/lib; export LIBPATH LD_LIBRARY_PATH=$ORACLE_HOME/lib:$ORACLE_HOME/network/lib; export LD_LIBRARY_PATH ORACLE_SID=or1; export ORACLE_SID ORACLE_TERM=vt100; export ORACLE_TERM
Assurez-vous que la variable PATH de l’utilisateur oracle inclut les répertoires $ORACLE_HOME, /bin et /usr/bin. Sinon, ajoutez-les dans le fichier .profile. 14. Configurez le profil à l’aide de la commande suivante : $ . ./.profile
Le shell UNIX lit le profil et initialise ou met à jour l’environnement actuel en fonction des valeurs du profil. 15. Exécutez rootpre.sh afin de préparer la machine pour une installation à partir de /cdrom : $ ./rootpre.sh
A présent, vous êtes prêt à lancer l’installation d’Oracle.
Préparation de l’installation d’Oracle sous Solaris Avant d’installer Oracle sur un système Solaris, effectuez les procédures suivantes : 1. Connectez-vous au système Solaris en tant qu’utilisateur root. 2. Assurez-vous que les valeurs des paramètres du noyau définis pour le système sont supérieures ou égales à celles requises pour l’installation. Pour plus d’informations, consultez le document Oracle 8i Installation Guide. 3. Créez des points de montage à utiliser avec les bases de données Oracle : $ mkdir /u01 $ mkdir /u02
4. Démarrez l’utilitaire admintool à partir d’une console, à l’aide de la commande suivante : # admintool
5. Dans la fenêtre Admintool, cliquez sur Browse –> Groups. La fenêtre Admintool:Groups s’affiche. 6. Dans la fenêtre Admintool:Groups, cliquez sur Edit –> Add. La fenêtre Admintool:Add Group s’affiche. 7. Créez deux groupes d’utilisateurs, l’un intitulé dba et l’autre oinstall. 8. Dans la fenêtre Admintool:Groups, cliquez sur Browse –> Users. La fenêtre Admintool:Users s’affiche. 9. Utilisez admintool pour créer un utilisateur appelé oracle. Effectuez les étapes ci-dessous pour le nouveau compte utilisateur. a. Paramétrez le groupe principal du compte sur le groupe oinstall que vous avez créé. b. Paramétrez le groupe secondaire du compte sur le groupe dba que vous avez créé.
Chapitre 3. Configuration de la base de données
21
c. Assurez-vous que le bouton d’option en regard de la zone Create Home Directory est sélectionné. Dans la zone Path, entrez /export/home/oracle pour le répertoire principal de l’utilisateur oracle. d. Affectez au shell de connexion la valeur /bin/sh. Le programme d’installation d’Oracle doit être exécuté sous ce compte. Ce compte va être utilisé uniquement pour l’installation et la gestion d’Oracle. 10. Connectez-vous au système en tant qu’utilisateur oracle : # su - oracle
Affichez les paramètres umask du compte oracle. $ umask
Le paramètre umask doit avoir pour valeur 022. Si le paramètre umask du compte n’a pas pour valeur 022, définissez-le à l’aide de la commande suivante : $ umask 022
Editez également le fichier .profile pour que la modification prenne effet. 11. Ajoutez ce qui suit dans /export/home/oracle/.profile pour le compte oracle : v Oracle 8i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/8.1.7; export ORACLE_HOME ORACLE_SID=or1; export ORACLE_SID ORACLE_DOC=$ORACLE_HOME/doc; export ORACLE_DOC ORA_NLS33=$ORACLE_HOME/ocommon/nls/admin/data; export ORA_NLS33 PATH=$ORACLE_HOME/bin:/usr/bin:/usr/local/bin:/usr/ccs/bin:/usr/ucb:/usr/openwin/bin:.
v Oracle 9i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/9.2.0.0.0; export ORACLE_HOME ORACLE_SID=or1; export ORACLE_SID ORACLE_DOC=$ORACLE_HOME/doc; export ORACLE_DOC ORA_NLS33=$ORACLE_HOME/ocommon/nls/admin/data; export ORA_NLS33 PATH=$ORACLE_HOME/bin:/usr/bin:/usr/local/bin:/usr/ccs/bin:/usr/ucb:/usr/openwin/bin:.
Si vous avez besoin de /usr/ucb dans le chemin de recherche, assurez-vous qu’il est répertorié à la suite de /usr/ccs/bin dans le paramètre PATH. 12. Configurez le profil à l’aide de la commande suivante : $ . ./.profile
A présent, vous êtes prêt à lancer l’installation d’Oracle. Consultez la documentation Oracle appropriée et installez le logiciel. Une fois que l’installation a abouti, revenez aux instructions de configuration contenues dans la présente section.
Préparation de l’installation d’Oracle sous HP-UX Avant d’installer Oracle sur un système HP-UX, effectuez les procédures suivantes : 1. Connectez-vous au système HP-UX en tant qu’utilisateur root. 2. Assurez-vous que les valeurs des paramètres du noyau définis pour le système sont supérieures ou égales à celles requises pour l’installation. Consultez le guide d’installation d’Oracle pour plus d’informations. 3. Créez des points de montage à utiliser avec les bases de données Oracle : $ mkdir /u01 $ mkdir /u02
22
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
4. Démarrez l’utilitaire SAM (Sequential data Access via Metadata) à partir d’une console, à l’aide de la commande suivante : # sam
5. Dans la fenêtre SAM, cliquez sur Accounts for Users and Groups. La fenêtre SAM:Accounts for Users and Groups s’ouvre. 6. Dans la fenêtre SAM:Accounts for Users and Groups, cliquez sur Groups. La fenêtre SAM:Groups s’affiche. 7. Créez deux groupes d’utilisateurs, l’un intitulé dba et l’autre oinstall. 8. Dans la fenêtre SAM:Accounts for Users and Groups, cliquez sur Users. La fenêtre SAM:Users s’affiche. 9. Créez l’utilisateur oracle. Effectuez les étapes ci-dessous pour le nouveau compte utilisateur. a. Paramétrez le groupe principal du compte sur le groupe oinstall que vous avez créé. b. Paramétrez le groupe secondaire du compte sur le groupe dba que vous avez créé. c. Assurez-vous que le bouton d’option en regard de la zone Create Home Directory est sélectionné. Dans la zone Path, entrez /home/oracle comme répertoire principal de l’utilisateur oracle. d. Affectez au shell de connexion la valeur /bin/sh. Le programme d’installation d’Oracle doit être exécuté sous ce compte. Ce compte va être utilisé uniquement pour l’installation et la gestion d’Oracle. 10. Connectez-vous au système en tant qu’utilisateur oracle : # su - oracle
Affichez les paramètres umask du compte oracle. $ umask
Le paramètre umask doit avoir pour valeur 022. Si le paramètre umask du compte n’a pas pour valeur 022, définissez-le à l’aide de la commande suivante : $ umask 022
Editez également le fichier .profile pour que la modification prenne effet. 11. Ajoutez ce qui suit dans /home/oracle/.profile pour le compte oracle : v Oracle 8i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/8.1.7; export ORACLE_HOME ORACLE_SID=or1; export ORACLE_SID ORACLE_DOC=$ORACLE_HOME/doc; export ORACLE_DOC ORA_NLS33=$ORACLE_HOME/ocommon/nls/admin/data; export ORA_NLS33 PATH=$ORACLE_HOME/bin:/usr/bin:/usr/local/bin:/usr/ccs/bin:/usr/ucb:/usr/openwin/bin:.
v Oracle 9i : ORACLE_BASE=/u01/app/oracle; export ORACLE_BASE ORACLE_HOME=$ORACLE_BASE/product/9.2.0.0.0; export ORACLE_HOME ORACLE_SID=or1; export ORACLE_SID ORACLE_DOC=$ORACLE_HOME/doc; export ORACLE_DOC ORA_NLS33=$ORACLE_HOME/ocommon/nls/admin/data; export ORA_NLS33 PATH=$ORACLE_HOME/bin:/usr/bin:/usr/local/bin:/usr/ccs/bin:/usr/ucb:/usr/openwin/bin:.
Si vous avez besoin de /usr/ucb dans le chemin de recherche, assurez-vous qu’il est répertorié à la suite de /usr/ccs/bin dans le paramètre PATH. 12. Configurez le profil à l’aide de la commande suivante : $ . ./.profile
Chapitre 3. Configuration de la base de données
23
A présent, vous êtes prêt à lancer l’installation d’Oracle. Consultez la documentation Oracle appropriée et installez le logiciel. Une fois que l’installation a abouti, revenez aux instructions de configuration contenues dans la présente section.
Préparation de l’installation d’Oracle sous Linux Pour obtenir des informations sur la préparation de l’installation d’Oracle sous Linux, reportez-vous au site Web suivant : http://otn.oracle.com/tech/linux/index.html
Préparation de l’installation d’Oracle sous Windows Avant d’installer Oracle sur un système Windows, effectuez les procédures suivantes : 1. Vérifiez que la configuration requise du système est supérieure ou égale à celle répertoriée dans le guide d’installation d’Oracle pour le type d’installation à effectuer. 2. Connectez-vous au système Windows à l’aide du compte Administrateur que vous allez utiliser pour l’installation. A présent, vous êtes prêt à lancer l’installation d’Oracle.
Configuration d’Oracle après l’installation Pour configurer Oracle afin de l’utiliser dans une structure Tivoli Identity Manager, vous devez effectuer plusieurs tâches de post-installation. 1. Vérifiez que le fichier $ORACLE_HOME /dbs/init.ora contient la ligne suivante : v Oracle 8i : compatible=8.1.0
v Oracle 9i : compatible=9.2.0.0
2. Créez une base de données pour l’utiliser avec Tivoli Identity Manager. Un exemple de script SQL permettant de créer la base de données est présenté ci-dessous. Les valeurs du script doivent être modifiées en fonction des besoins de votre site. -- Create database CREATE DATABASE sample CONTROLFILE REUSE LOGFILE ’/u01/oracle/sample/redo01.log’ SIZE 1M ’/u01/oracle/sample/redo02.log’ SIZE 1M ’/u01/oracle/sample/redo03.log’ SIZE 1M ’/u01/oracle/sample/redo04.log’ SIZE 1M DATAFILE ’/u01/oracle/sample/system01.dbf’ SIZE AUTOEXTEND ON NEXT 10M MAXSIZE 200M CHARACTER SET UTF8;
REUSE, REUSE, REUSE, REUSE 10M REUSE
-- Create another (temporary) system tablespace CREATE ROLLBACK SEGMENT rb_temp STORAGE (INITIAL 100 k NEXT 250 k); -- Alter temporary system tablespace online before proceeding ALTER ROLLBACK SEGMENT rb_temp ONLINE; -- Create additional tablespaces ... -- RBS: For rollback segments -- USERs: Create user sets this as the default tablespace -- TEMP: Create user sets this as the temporary tablespace CREATE TABLESPACE rbs DATAFILE ’/u01/oracle/sample/sample.dbf’ SIZE 5M REUSE AUTOEXTEND ON NEXT 5M MAXSIZE 150M; CREATE TABLESPACE users DATAFILE ’/u01/oracle/sample/users01.dbf’ SIZE 3M REUSE AUTOEXTEND ON
24
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
NEXT 5M MAXSIZE 150M; CREATE TABLESPACE temp DATAFILE ’/u01/oracle/sample/temp01.dbf’ SIZE 2M REUSE AUTOEXTEND ON NEXT 5M MAXSIZE 150M; -- Create rollback segments. CREATE ROLLBACK SEGMENT rb1 STORAGE(INITIAL 50K NEXT 250K) tablespace rbs; CREATE ROLLBACK SEGMENT rb2 STORAGE(INITIAL 50K NEXT 250K)
tablespace rbs; CREATE ROLLBACK SEGMENT rb3 STORAGE(INITIAL 50K NEXT 250K) tablespace rbs; CREATE ROLLBACK SEGMENT rb4 STORAGE(INITIAL 50K NEXT 250K) tablespace rbs; -- Bring new rollback segments online and drop the temporary system one ALTER ROLLBACK SEGMENT rb1 ONLINE; ALTER ROLLBACK SEGMENT rb2 ONLINE; ALTER ROLLBACK SEGMENT rb3 ONLINE; ALTER ROLLBACK SEGMENT rb4 ONLINE; ALTER ROLLBACK SEGMENT rb_temp OFFLINE; DROP ROLLBACK SEGMENT rb_temp ;
3. Remplacez la valeur par défaut (50) correspondant aux connexions Oracle par la valeur 150, en modifiant le paramètre PROCESSES du fichier $ORACLE_HOME/dbs/init.ora. Remarque : La configuration requise pour la connexion Oracle varie considérablement d’une entreprise à l’autre. Affectez une valeur de connexion appropriée pour votre environnement. 4. Remplacez la valeur par défaut de l’espace table Oracle par la valeur maximale disponible, à l’aide de la commande alter. SQL> alter database datafile ’emplacement du fichier DBF\ENROLE1_DATA_001.DBF’ resize 500m SQL> alter database datafile ’emplacement de base de données du fichier DBF\ENROLE1_IDX_001.DBF’ resize 500m
5. Démarrez Oracle : # # > > >
su - oracle svrmgrl connect internal startup quit
6. Démarrez le service d’écoute Oracle : # su - oracle # lnsrctl start
Chapitre 3. Configuration de la base de données
25
26
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 4. Configuration du serveur d’annuaires Le présent chapitre décrit la configuration du serveur d’annuaires. On part du principe que vous l’avez déjà installé et que vous êtes prêt à le configurer pour l’utiliser avec Tivoli Identity Manager. Remarques : 1. IBM Directory Server version 5.1 peut installer une instance d’IBM DB2. Veillez à ne pas installer deux instances d’IBM DB2. Pour plus d’informations, consultez la documentation d’IBM Directory Server à l’adresse http://www.ibm.com/software/network/directory. Pour plus de détails sur les serveurs d’annuaires pris en charge, voir IBM Tivoli Identity Manager Release Notes. 2. Si IBM Directory Server version 5.1 a précédemment été installé, il se peut qu’une instance non enregistrée de WebSphere – Express entraîne des conflits de port potentiels. Pour plus d’informations, voir «Utilisation de la version 5.1 et de WebSphere Application Server sur le même ordinateur» à la page 33. 3. Ces informations ne remplacent pas la documentation plus complète sur les conditions prérequises, livrée avec le serveur d’annuaires. Pour plus de détails sur les informations à connaître, voir les publications citées dans «Avant-propos» à la page ix, ainsi que celles fournies par le produit. Choisissez une des sections suivantes : v «Configuration d’IBM Directory Server» v «Configuration de Sun ONE Directory Server» à la page 33
Configuration d’IBM Directory Server La présente section décrit la configuration d’IBM Directory Server. Les étapes ci-dessous font référence aux variables suivantes : répinstall_serveurannuaires Répertoire dans lequel vous avez installé IBM Directory Server. Par exemple : v AIX : /usr/ldap/ v Solaris : – IBM Directory Server version 4.1 : /opt/IBMldapc/ – IBM Directory Server version 5.1 : /opt/ldap/ v HP-UX : /usr/IBM/ldap/ v Windows : c:\Program Files\IBM\ldap répinstall_cd Répertoire sur le CD-ROM. Pour localiser le CD-ROM correspondant à votre environnement, reportez-vous à la description du CD1 dans l’Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. slapd_spécifiqueversion v IBM Directory Server version 4.1 utilise slapd comme commande et slapd32.conf comme fichier. © Copyright IBM Corp. 2004
27
v IBM Directory Server version 5.1 utilise ibmslapd comme commande et ibmslapd.conf comme fichier. mon_suffixe Valeur que vous définissez pour le suffixe Tivoli Identity Manager, par exemple, com. Pour configurer IBM Directory Server, effectuez les opérations suivantes : 1. «Définition du suffixe de Tivoli Identity Manager» 2. «Configuration du plug-in d’intégrité référentielle pour Tivoli Identity Manager» 3. «Redémarrage du serveur d’annuaires» à la page 30 4. «Création de l’objet suffixe LDAP» à la page 31
Définition du suffixe de Tivoli Identity Manager Pour définir le suffixe de Tivoli Identity Manager, connectez-vous au système IBM Directory Server et effectuez les étapes suivantes : 1. Arrêtez IBM Directory Server avant d’éditer le fichier slapd_spécifiqueversion.conf. IBM Directory Server lit ce fichier lors de l’initialisation et le remplace une fois IBM Directory Server arrêté. 2. Utilisez l’outil de configuration IBM Directory Server pour apporter les modifications ci-après ou éditez le fichier suivant : v UNIX : /etc/slapd_spécifiqueversion.conf v Windows : \etc\slapd_spécifiqueversion.conf 3. Repérez la ligne suivante : ibm-slapdSuffix: cn=localhost 4. Sous cette dernière, ajoutez la ligne suivante : ibm-slapdSuffix: dc=mon_suffixe où mon_suffixe représente la valeur du suffixe que vous définissez pour Tivoli Identity Manager. 5. Pour passer à l’étape suivante de la configuration, voir «Configuration du plug-in d’intégrité référentielle pour Tivoli Identity Manager».
Configuration du plug-in d’intégrité référentielle pour Tivoli Identity Manager Vous pouvez configurer le plug-in d’intégrité référentielle avant ou après l’installation de Tivoli Identity Manager. Pour localiser les fichiers correspondant à votre environnement, lancez une recherche sur le CD-ROM 2 décrit dans l’Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. Recherchez le répertoire suivant : v AIX : DelRef/aix/ v HP-UX : DelRef/hpux/ v Solaris : DelRef/sun/ v Windows : DelRef\nt\ Localisez le fichier approprié : v libdelref Fichier de bibliothèque de plug-in d’intégrité référentielle pour Tivoli Identity Manager
28
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
v timdelref Fichier de configuration Tivoli Identity Manager Remarque : Sous UNIX, assurez-vous que les droits d’accès au fichier de bibliothèque de plug-in (libdelref) ont pour valeur -r-xr-xr-x. Pour configurer le plug-in d’intégrité référentielle, procédez comme suit : 1. Copiez le fichier de bibliothèque de plug-in suivant pour Tivoli Identity Manager à partir du CD-ROM 2 : v AIX : libdelref.a Remarque : Pour IBM Directory Server version 5.2 sous AIX, utilisez le fichier du plug-in d’intégrité référentielle libdelrefids52.a. Pour plus d’informations sur l’emplacement de ce fichier fourni par Tivoli Identity Manager version 4.5.1, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. L’installation du correctif P520A-00C d’IBM Directory Server nécessite une nouvelle version de la bibliothèque libdelrefids52.a. Pour plus d’informations, voir IBM Tivoli Identity Manager Release Notes. v HP-UX : libdelref.sl v Solaris : libdelref.so v Windows : libdelref.dll dans le répertoire suivant du serveur d’annuaires : v UNIX : /lib v Windows : \bin 2. Copiez le fichier de configuration Tivoli Identity Manager intitulé timdelref.conf du répertoire de CD-ROM approprié vers le répertoire suivant du serveur d’annuaires : v UNIX : /etc v Windows : \etc 3. Modifiez le fichier suivant du serveur d’annuaires : v UNIX : /etc/slapd_spécifiqueversion.conf v Windows : \etc\slapd_spécifiqueversion.conf Procédez comme suit : a. Recherchez la ligne suivante dans le fichier : ibm-slapdPlugin: database chemin_accès_à_nomfichierrdbm rdbm_backend_init
où chemin_accès_à_nomfichierrdbm a pour valeur : v AIX : /lib/libback-rdbm.a v HP-UX : /lib/libback-rdbm.sl v Solaris : /lib/libback-rdbm.so v Windows : /bin/libback-rdbm.dll b. Sur une ligne située directement sous la ligne précédente, ajoutez : v AIX : ibm-slapdPlugin: preoperation /lib/libdelref.a DeleteReferenceInit file=/etc/timdelref.conf dn=dc=mon_suffixe
Chapitre 4. Configuration du serveur d’annuaires
29
Remarque : Pour IBM Directory Server version 5.2 sous AIX, spécifiez le fichier libdelrefids52.a au lieu du fichier libdelref.a dans cette instruction. Pour plus d’informations sur l’emplacement du fichier libdelrefids52.a fourni par Tivoli Identity Manager version 4.5.1, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. v HP-UX : ibm-slapdPlugin: preoperation /lib/libdelref.sl DeleteReferenceInit file=/etc/timdelref.conf dn=dc=mon_suffixe
v Solaris : ibm-slapdPlugin: preoperation /lib/libdelref.so DeleteReferenceInit file=/etc/timdelref.conf dn=dc=mon_suffixe
v Windows : ibm-slapdPlugin: preoperation "/bin /libdelref.dll" DeleteReferenceInit file="\etc\ timdelref.conf" dn=dc=mon_suffixe
Remarque : Pour indiquer le chemin d’accès aux fichiers libdelref.dll et timdelref.conf sous Windows, veillez à placer la valeur entre guillemets. En outre, indiquez le chemin d’accès au fichier libdelref.dll avec une barre oblique. 4. Redémarrez le serveur d’annuaires. Pour plus d’informations, voir «Redémarrage du serveur d’annuaires».
Redémarrage du serveur d’annuaires Pour arrêter et redémarrer IBM Directory Server, procédez comme suit : v Windows : Entrez les commandes suivantes : net stop "IBM Directory Server version" net start "IBM Directory Server version"
où version représente une des versions IBM Directory Server suivantes : – V4.1 – V5.1 Vous avez également la possibilité de procéder comme suit : 1. Cliquez sur Démarrer –> Paramètres –> Panneau de configuration –> Outils d’administration –> Services. 2. Cliquez à l’aide du bouton droit de la souris sur ″IBM Directory Server version″. 3. Dans le menu en incrustation, cliquez sur Arrêter, puis sur Démarrer. 4. Déterminez si le plug-in d’intégrité référentielle est reconfiguré. Dans le fichier, recherchez un message similaire au suivant : Plugin of type PREOPERATION is successfully loaded from c:/Program Files/IBM/ldap/bin/libdelref.dll
v UNIX : 1. Entrez : ps -ef | grep slapd_spécifiqueversion
30
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
2. Notez l’ID processus (PID) renvoyé dans les résultats de la précédente commande. 3. Pour mettre fin au processus, entrez : kill où est remplacé par la valeur de PID renvoyée précédemment. 4. Assurez-vous que le processus a pris fin, en renouvelant la commande ps -ef | grep slapd_spécifiqueversion tant que le processus est répertorié dans les résultats de la commande. 5. Redémarrez le serveur d’annuaires pour vous assurer que les nouvelles valeurs prennent effet. Entrez la commande suivante : slapd_spécifiqueversion
6. Déterminez si le plug-in d’intégrité référentielle est reconfiguré. Dans le fichier répinstall_serveurannuaires/var/ldap/slapd_spécifiqueversion.log, recherchez un message similaire au suivant : Plugin of type PREOPERATION is successfully loaded from /usr/ldap/lib/libdelref.a
Création de l’objet suffixe LDAP Vous devez indiquer le suffixe et redémarrer le serveur d’annuaires avant de créer l’objet suffixe LDAP pour Tivoli Identity Manager. Pour créer l’objet suffixe LDAP, effectuez une des opérations suivantes : v Ligne de commande : Créez un fichier LDIF, tel que suffix.ldif, similaire au suivant : dn: dc=mon_suffixe dc: mon_suffixe objectclass: top objectclass: domain
Utilisez la commande ldapadd pour ajouter le suffixe. Par exemple, entrez sur une seule ligne : répinstall_serveurannuaires/bin/ldapadd -i full_path_to_suffix.ldif -D ldap_admin -w motdepasse_admin_ldap
v Console d’administration LDAP : Créez l’objet suffixe en affectant au domaine la valeur objectClass. Utilisez un des éléments suivants : – IBM Directory Server version 4.1 : outil de gestion d’annuaire – IBM Directory Server version 5.1 : console d’administration
Accès à la console d’administration IBM Directory Server Accédez à la console d’administration Web IBM Directory Server de la manière suivante : 1. Sous Windows, démarrez la version de WebSphere installée avec IBM Directory Server version 5.x, à l’aide de la commande suivante : répinstall_ids\appsrv\startServer.bat server
2. A l’aide d’un navigateur, accédez à la console d’administration IBM Directory Server, à l’adresse suivante : http://nomhôte_WAS/:9080/IDSWebApp/IDSjsp/Login.jsp
Chapitre 4. Configuration du serveur d’annuaires
31
3. Si vous accédez à la console d’administration IBM Directory Server pour la première fois, procédez comme suit : a. Entrez l’ID utilisateur ″superadmin″ et le mot de passe ″secret″ pour vous connecter en tant qu’administrateur de la console. b. Sélectionnez Console administration –> Manage console server. c. Ajoutez le nom d’hôte du nouveau serveur IBM Directory Server. d. Déconnectez-vous. 4. Une fois l’étape précédente terminée, procédez comme suit : a. Sélectionnez LDAP Hostname dans la console d’administration IBM Directory Server. b. Connectez-vous à IBM Directory Server à l’aide de votre nom d’utilisateur (entrez cn=root) et de votre mot de passe.
Utilisation de la console d’administration IBM Directory Server Utilisez la console d’administration Web IBM Directory Server version 5.1 de la manière suivante : 1. Cliquez sur Directory Management –> Add an Entry. 2. 3. 4. 5. 6. 7.
Sélectionnez domain pour Structural Object Class. Cliquez sur Next. N’ajoutez pas de classes d’objets auxiliaires. Cliquez sur Next. Pour Relative DN, ajoutez dc=mon_suffixe. Pour Required Attributes, ajoutez mon_suffixe. Cliquez sur Finish. Cliquez sur Directory Management –> Manage Entries. Le suffixe dc=mon_suffixe doit être répertorié avec domain comme classe d’objet.
Gestion des limitations des unités d’exécution d’IBM Directory Server 5.2 sous Windows Par défaut, IBM Directory Server version 5.2 sous Windows ne prend en charge que 64 connexions simultanées. Toutefois, les services de données de Tivoli Identity Manager utilisent un regroupement de connexions LDAP pour établir jusqu’à 100 connexions simultanées (valeur par défaut) avec IBM Directory Server. Pour empêcher les difficultés qui pourraient résulter de cette limitation du nombre de connexions, procédez comme suit : 1. Editez la section suivante du fichier ibmslapd.conf : dn: cn=Front End, cn=Configuration
Ajoutez-y la ligne suivante : ibm-slapdsetenv: SLAPD_OCHANDLERS=nombre-unités-exécution
Une unité d’exécution prend en charge 64 connexions. 2. Redémarrez IBM Directory Server. Pour plus d’informations sur les autres solutions possibles, reportez-vous aux incidents du pool de connexions IBM Directory Server décrits dans IBM Tivoli Identity Manager Problem Determination Guide.
32
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Utilisation de la version 5.1 et de WebSphere Application Server sur le même ordinateur Si IBM Directory Server version 5.1 existe déjà, il se peut que son installation comporte WebSphere – Express qui n’est peut-être pas enregistré sur le système cible. Si Tivoli Identity Manager est utilisé pour l’installation de WebSphere Application Server sur le même ordinateur, l’installation ne détecte pas l’instance de WebSphere – Express. WebSphere – Express et WebSphere Application Server entrent en concurrence pour le même ensemble de ports. Avant d’installer Tivoli Identity Manager et WebSphere Application Server, vous devez éliminer tous les conflits de port potentiels avec WebSphere – Express. WebSphere Application Server utilise les paramètres de port par défaut suivants : v Transport HTTP (port 1) : 9080 v Transport HTTP (SSL, port 2) : 9443 v Transport HTTP (port 3) : 9090 v Transport HTTP (port 4) : 9043 v Port d’amorçage/rmi : 2809 v Port de connexion SOAP (Simple Object Access Protocol) : 8880 Utilisez un éditeur de texte pour remplacer chaque port par défaut utilisé par WebSphere – Express par un port non utilisé. Par exemple, procédez comme suit : v Modifiez chacun des numéros de port de transport HTTP dans les fichiers suivants : répinstall_serveurannuaires\appsrv\config\cells\DefaultNode\nodes\DefaultNode\servers \serveur1\server.xml répinstall_serveurannuaires\appsrv\config\cells\DefaultNode\virtualhosts.xml
Remplacez les numéros de port de transport HTTP suivants par des numéros de port non utilisés : – 9080 – 9443 – 9090 – 9043 v Port d’amorçage/rmi : 2809 Localisez la ligne qui contient le port numéro 2809 et remplacez ce dernier par un numéro de port non utilisé. La ligne se trouve dans le fichier suivant : répinstall_serveurannuaires\appsrv\config\cells\DefaultNode\nodes\DefaultNode\serverindex.xml
v Port de connexion SOAP : 8880 Localisez la ligne qui contient le port numéro 8880 et remplacez ce dernier par un numéro de port non utilisé. La ligne se trouve dans le fichier suivant : répinstall_serveurannuaires\appsrv\config\cells\DefaultNode\nodes\DefaultNode\serverindex.xml
Configuration de Sun ONE Directory Server Remarque : Dans la présente section, mon_suffixe désigne toutes les valeurs du suffixe que vous définissez pour Tivoli Identity Manager, par exemple, com.
Chapitre 4. Configuration du serveur d’annuaires
33
Pour configurer Sun ONE Directory Server, procédez comme suit : 1. Démarrez la console iPlanet. La boîte de dialogue de connexion de la console iPlanet apparaît. 2. Vérifiez le numéro de port dans l’URL d’administration, entrez votre mot de passe, puis cliquez sur OK. 3. Accédez au serveur d’annuaires dans l’arborescence de la console et cliquez sur Open. 4. Sélectionnez l’onglet Configuration. 5. Cliquez à l’aide du bouton droit de la souris sur Data dans l’arborescence du serveur d’annuaires de la page Configuration, puis cliquez sur New Root Suffix. La boîte de dialogue Create new root suffix apparaît. 6. Entrez dc=mon_suffixe dans la zone de texte Nouveau suffixe de la boîte de dialogue Create new root suffix. 7. Entrez le nom de base de données désiré dans la zone de texte correspondant au nom de la base de données. Par exemple, entrez : itimdb
8. Cochez la case Create associated database automatically si elle ne l’est pas déjà, puis cliquez sur OK. La boîte de dialogue Confirmation Needed apparaît. 9. Dans cette boîte de dialogue, cliquez sur Yes. La console du serveur d’annuaires ré-apparaît. 10. Sélectionnez l’onglet Directory. 11. Cliquez à l’aide du bouton droit de la souris sur le nom du serveur d’annuaires dans l’arborescence de ce dernier. Un menu en incrustation apparaît. 12. Sélectionnez dc=mon_suffixe dans New Root Object du menu en incrustation. La boîte de dialogue du nouvel objet apparaît. 13. Sélectionnez domain et cliquez sur OK. La boîte de dialogue Property Editor pour dc=mon_suffixe apparaît. 14. Cliquez sur OK dans la boîte de dialogue Property Editor. La console du serveur d’annuaires ré-apparaît. 15. Sélectionnez l’onglet Tasks et cliquez sur Restart the Directory Server. A présent, Sun ONE Directory Server est configuré. 16. Augmentez la mémoire cache disponible pour le serveur Tivoli Identity Manager en procédant comme suit : a. Ouvrez la console du serveur d’annuaires, puis cliquez sur l’onglet Configuration. b. Développez le noeud Données dans l’arborescence de l’annuaire, puis cliquez sur l’onglet Database Settings. c. Cliquez sur l’onglet LDBM Plug-in Settings. d. Affectez au paramètre Maximum Cache Size une valeur appropriée en fonction de la mémoire physique de votre matériel. Si Sun ONE Directory Server est installé sur sa propre machine, il est conseillé de paramétrer cette valeur sur 75% de la mémoire disponible du système. e. Cliquez sur Save.
34
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
f. Développez le noeud de l’application Tivoli Identity Manager. Par exemple : dc=com. g. Sélectionnez l’objet base de données dans le noeud de l’application Tivoli Identity Manager et cliquez sur l’onglet Database Settings. h. Affectez au paramètre ″Memory available for cache″ une valeur appropriée en fonction de la mémoire physique de votre matériel. Si Tivoli Identity Manager est la seule application utilisant cet annuaire, il est conseillé de paramétrer cette valeur sur 60% de la taille de mémoire cache maximale définie dans l’onglet LDBM Plug-in Settings. i. Cliquez sur Save. j. Cliquez sur l’onglet Tasks, puis redémarrez le serveur d’annuaires.
Chapitre 4. Configuration du serveur d’annuaires
35
36
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager Le présent chapitre décrit les tâches qui permettent d’installer et de configurer le serveur Tivoli Identity Manager dans une configuration à serveur unique. Sur un ordinateur sur lequel WebSphere Application Server base n’est pas déjà installé, le processus d’installation à serveur unique installe automatiquement les applications et kits de mise à jour ci-dessous en fonction des conditions suivantes : v WebSphere Application Server base WebSphere Application Server, le Fix Pack 2 et les APARS répertoriés dans les logiciels requis d’IBM Tivoli Identity Manager Release Notes sont automatiquement installés si l’un des produits suivants n’existe pas sur le système cible : – WebSphere Application Server version 5.0 ou antérieure – WebSphere Application Server Network Deployment v IBM HTTP Server IBM HTTP Server est installé si IBM HTTP Server n’existe pas ou si une version antérieure à 1.3.26 existe. v Support de messagerie intégrée WebSphere v Un serveur Tivoli Identity Manager Remarque : Si WebSphere Application Server 5.0 est déjà installé, Tivoli Identity Manager installe uniquement le serveur Tivoli Identity Manager. Pour plus d’informations sur les versions d’application et les kits de mise à jour, voir IBM Tivoli Identity Manager Release Notes. Les tâches d’installation sont les suivantes : v «Avant de commencer» v «Installation du serveur Tivoli Identity Manager» à la page 46
Avant de commencer Avant de commencer, procédez comme suit : v Recherchez le jeu de CD-ROM approprié ou le kit de mise à jour permettant d’installer Tivoli Identity Manager. Pour plus d’informations, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. v Si IBM DB2 est la base de données, configurez le profil DB2 en indiquant un répertoire db2InstanceHome valide. Pour plus d’informations, voir «Configuration du pilote JDBC IBM DB2» à la page 15. v Si vous utilisez Oracle comme base de données, procurez-vous le pilote JDBC d’Oracle (fichier classes12.zip) et copiez-le dans un répertoire local temporaire.
© Copyright IBM Corp. 2004
37
v Assurez-vous que les produits prérequis Tivoli Identity Manager suivants sont en cours d’exécution : Tableau 1. Applications pré-requises Produit prérequis
Pour plus d’informations, voir :
Base de données
Chapitre 3, «Configuration de la base de données», à la page 11
Serveur d’annuaires
Chapitre 4, «Configuration du serveur d’annuaires», à la page 27
v Assurez-vous que les exigences d’espace disque disponible, de mémoire virtuelle et d’autre espace mémoire sont satisfaites. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes.
v
v v
v
Remarque : L’installation échoue si l’espace et les correctifs requis ne correspondent pas à ceux décrits dans les conditions matérielles et logicielles requises répertoriées dans IBM Tivoli Identity Manager Release Notes. Si le processus d’installation de Tivoli Identity Manager installe WebSphere Application Server, le système cible doit répondre aux conditions décrites dans IBM Tivoli Identity Manager Release Notes et dans l’Annexe B, «Préparation de l’environnement WebSphere», à la page 115. Pour plus d’informations sur les exigences WebSphere, consultez la documentation fournie par WebSphere Application Server. Vérifiez que vous disposez du droit d’administration correct. Sinon, procurez-vous ce droit et redémarrez le système pour activer l’accès approprié. Si WebSphere Application Server a précédemment été installé et que la sécurité globale WebSphere est déjà activée, effectuez les étapes manuelles nécessaires après l’installation de Tivoli Identity Manager. Pour plus d’informations sur ces étapes de post-installation, voir «Procédure manuelle pour les déploiements à noeud unique après l’installation de Tivoli Identity Manager» à la page 130. Pour plus de détails sur la sécurité globale, consultez la documentation fournie par WebSphere Application Server. Déterminez si des instances des éléments suivants existent sur l’ordinateur cible, puis prenez les mesures correctives nécessaires : – WebSphere Application Server base et Fix Pack 2 existent-ils déjà ? Remarques : 1. Vous devez appliquer le correctif provisoire et les kits de mise à jour requis décrits pour une plateforme donnée dans IBM Tivoli Identity Manager Release Notes, avant ou après l’installation de Tivoli Identity Manager. 2. Le programme d’installation détecte l’existence de WebSphere Application Server 5.0 et également du Fix Pack 2. Si WebSphere Application Server 5.0 existe, mais pas le Fix Pack 2, le programme d’installation affiche un message d’avertissement, mais n’installe pas le Fix Pack 2. Le programme d’installation détecte également WebSphere Application Server Network Deployment Fix Pack 2. Pour plus d’informations, voir IBM Tivoli Identity Manager Release Notes. 3. Sous Windows 2003, les fichiers binaires de l’installation de WebSphere Application Server base et WebSphere Application Server Network Deployment incluent le Fix Pack 2.
38
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
– Le support de messagerie intégrée WebSphere existe-t-il déjà ? Si WebSphere Application Server existe déjà sur le système cible, le processus d’installation ne vérifie pas si le support de messagerie intégrée WebSphere existe aussi. Dans ce cas, si le support de messagerie intégrée WebSphere n’existe pas, lancez le programme d’installation de WebSphere Application Server pour installer le support de messagerie intégrée WebSphere. Si WebSphere Fix Pack 2 a été appliqué à WebSphere Application Server base, vous devez exécuter le même kit de mise à jour afin d’appliquer des correctifs pour le support de messagerie intégrée WebSphere. Remarque : Si vous avez déjà installé manuellement WebSphere et appliqué le Fix Pack 2, le support de messagerie intégrée WebSphere n’est peut-être pas installé. Si vous décidez par la suite d’installer Tivoli Identity Manager, vous devez installer manuellement le support de messagerie intégrée WebSphere et ré-exécuter également le Fix Pack 2 avant d’installer Tivoli Identity Manager. v Vérifiez que les paramètres du service de transactions WebSphere Application Server sont suffisamment élevés pour gérer les charges Tivoli Identity Manager pour vos processus ITIM. Pour plus de détails sur la modification de ces paramètres, voir «Configuration des paramètres du service de transactions WebSphere Application Server» à la page 126. Si vous ne modifiez pas les paramètres en fonction des charges de vos processus métier, les requêtes peuvent arriver à expiration avant d’être exécutées. v Veillez à résoudre tous les incidents de port, si plusieurs versions de WebSphere Application Server sont installées sur l’ordinateur. Pour plus d’informations, voir «Résolution des incidents de port» à la page 40. v Sur l’ordinateur sur lequel Tivoli Identity Manager va être installé, définissez la valeur appropriée pour votre environnement local afin de vous assurer que le format de langue est reconnu. Remarque : Pour le japonais, assurez-vous que la méthode de codage SJIS est prise en charge. Si ces valeurs ne sont pas définies, les informations sur la licence risquent de ne pas être visualisables. Par exemple, définissez la valeur suivante pour la variable d’environnement local : – Solaris : LC_ALL=ja_JP.PKC – AIX : LC_ALL=Ja_JP v Assurez-vous que WebSphere Application Server Fix Pack 2 est également installé sur l’ordinateur qui est doté du serveur Web. Arrêtez ce dernier avant d’installer le kit de mise à jour. Remarque : Il se peut que la configuration contienne plusieurs plug-ins Web WebSphere, y compris un plug-in du serveur Web WebSphere sur l’ordinateur doté de WebSphere Application Server Network Deployment. v Complétez la feuille de travail contenant des informations correspondant à votre configuration.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
39
Résolution des incidents de port Les incidents de port suivants risquent de se produire : v Avant d’installer Tivoli Identity Manager, assurez-vous que le même port SOAP pour WebSphere 5.0 est défini dans les emplacements suivants : – com.ibm.ws.scripting.port dans le fichier suivant : WAS_HOME/properties/wsadmin.properties
– Port dans SOAP_CONNECTOR_ADDRESS de serveur1 dans le fichier suivant : WAS_HOME/config/cells//nodes/nom_noeud/serverindex.xml
Si les valeurs sont différentes, corrigez le numéro de port en procédant comme suit : 1. Ouvrez le fichier wsadmin.properties. 2. Remplacez la valeur de com.ibm.ws.scripting.port par la valeur trouvée dans le fichier serverindex.xml. Remarque : Si l’installation échoue car le numéro de port SOAP est incorrect, corrigez la spécification de port, puis relancez la commande ITIM_HOME/bin/runConfig install. v Une fois l’installation terminée, le processus de connexion Tivoli Identity Manager échoue si les valeurs de port d’hôte virtuel sont différentes des valeurs requises par Tivoli Identity Manager. Pour Tivoli Identity Manager, vous devez indiquer les valeurs de port d’hôte virtuel 80 et 9443. Le port 9443 est utilisé si la fonction de communication sécurisée est activée. L’installation d’une seule instance d’un serveur WebSphere sur un ordinateur indique les valeurs correctes des numéros de port d’hôte virtuel à utiliser par Tivoli Identity Manager. Cependant, l’installation d’une seconde instance d’un serveur WebSphere, telle que Network Deployment Manager, sur le même ordinateur augmente les numéros de port indiqués pour Network Deployment Manager. Par exemple, les numéros de port d’hôte virtuel augmentent de 80 à 81 et de 9443 à 9444. Vous devez reconfigurer les numéros de port de sorte qu’ils correspondent aux numéros requis par Tivoli Identity Manager. Pour corriger les numéros de port d’hôte virtuel, accédez à la console d’administration WebSphere et procédez comme suit : 1. Cliquez sur Environnement –> Hôtes virtuels –> Hôte par défaut–> Alias d’hôte. 2. Remplacez les valeurs de port d’hôte virtuel par 80 et par 9443. 3. Sauvegardez la configuration dans le référentiel maître en sélectionnant Synchroniser les modifications avec les noeuds. 4. Cliquez sur Mise à jour du plug-in du serveur Web, puis sur OK. 5. Redémarrez le cluster.
40
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Feuille de travail relative à l’installation dans une configuration à serveur unique Avant de lancer l’installation, collectez les informations suivantes :
Informations de base de données Collectez les informations suivantes pour le système de gestion de base de données relationnelle : ID d’administration ______________________________ ID administrateur (NomInstanceDB2 pour le propriétaire d’instance de base de données) que vous avez créé lors de l’installation de la base de données. Par exemple, la valeur par défaut pour IBM DB2 est la suivante : v UNIX : db2inst1 v Windows : db2admin Pour plus d’informations, voir «Configuration d’IBM DB2» à la page 11. Mot de passe d’administration ______________________________ Mot de passe correspondant à l’ID utilisateur de l’administrateur. Nom de base de données ______________________________ Indique comment le serveur Tivoli Identity Manager se connecte à la base de données. Si cette dernière est installée en local, ce paramètre a pour valeur le nom de la base de données. Par exemple, la valeur d’un nom de base de données est itimdb. Si la base de données est installée à distance, le nom de base de données correspond au nom d’alias local de la base de données éloignée. Pour plus d’informations sur l’utilisation de la commande catalog pour indiquer la base de données éloignée, voir «Configuration du pilote JDBC IBM DB2» à la page 15. Type de base de données ______________________________ Type de la base de données utilisée pour votre système. Par exemple, la base de données est IBM DB2. Autorisations d’accès pour la base de données : Utilisateur de la base de données ______enrole__________________ Compte utilisé par le serveur Tivoli Identity Manager pour se connecter à la base de données. L’ID utilisateur est enrole. Remarque : Cet ID utilisateur ne peut pas être modifié. Mot de passe de l’utilisateur ______motdepasse______________ Mot de passe du compte utilisé par le serveur Tivoli Identity Manager pour se connecter à la base de données. Adresse IP ______________________________ Adresse IP du serveur de base de données. Non requise pour IBM DB2. Requise pour Oracle et SQL Server 2000 (SP3). Numéro de port ______________________________ Numéro de port du serveur de base de données. Non requis pour IBM DB2. Requis pour Oracle et SQL Server 2000 (SP3).
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
41
En outre, le processus d’installation signale les informations ci-dessous relatives au pool de base de données. Ces informations déterminent le nombre de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Evaluez les valeurs suivantes en fonction des besoins de votre site : Capacité initiale Nombre initial de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données. Capacité maximale Nombre maximal de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données à un moment donné. Délai de connexion en secondes Délai, en secondes, entre les connexions.
Informations sur le serveur d’annuaires Rassemblez les informations suivantes : Nom d’hôte ______________________________ Nom d’hôte complet du serveur d’annuaires. Par exemple, identity1.mylab.mydomain.com. Identity Manager - Emplacement du nom distinctif __________________________ La valeur, telle que dc=com, entrée dans la zone Emplacement doit correspondre au suffixe (par exemple, dc=com) que vous avez créé lors de la configuration de LDAP. Pour plus d’informations, voir Chapitre 4, «Configuration du serveur d’annuaires», à la page 27. Nom de votre organisation ______________________________ La valeur entrée dans la zone Nom de votre organisation s’affiche dans l’organigramme qui apparaît sur la plupart des écrans de l’interface utilisateur de Tivoli Identity Manager. Cette valeur correspond généralement au nom plus formel de votre entreprise. Par exemple, IBM Corporation est un nom d’organisation. Remarque : Dans cette zone, vous pouvez entrer des caractères du jeu de caractères mono-octet (ASCII) ou du jeu de caractères à deux octets. Nom abrégé de l’organisation par défaut _____________ La valeur entrée dans la zone Nom abrégé de l’organisation par défaut va être utilisée en interne dans IBM Directory Server pour représenter votre organisation. Cette valeur correspond généralement à une abréviation du nom de votre entreprise. Par exemple, ibmcorp est un nom abrégé. Remarque : Dans la zone Nom abrégé de l’organisation par défaut, entrez uniquement des caractères du jeu de caractères mono-octet (ASCII), par exemple, un identificateur en anglais. Nombre de compartiments de table de hachage ________ Un compartiment de table de hachage sert à répartir des éléments de données à des fins de tri ou de recherche. Evaluez la valeur par défaut (1) en fonction des besoins de votre site.
42
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Port ______________________________ Port d’écoute du serveur d’annuaires, par exemple, 389. Nom distinctif principal ______________________________ ID utilisateur du nom distinctif principal. Par exemple, cn=root. Mot de passe _________________________ Mot de passe de l’ID utilisateur du nom distinctif principal que vous avez créé lors de l’installation du serveur d’annuaires. En outre, le processus d’installation signale les informations ci-dessous relatives au pool de connexions LDAP accessible au serveur Tivoli Identity Manager. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Evaluez les valeurs suivantes en fonction des besoins de votre site : Taille maximale du pool Nombre maximal de connexions que le pool de connexions LDAP peut avoir à un moment donné. Taille initiale du pool Nombre initial de connexions créées pour le pool de connexions LDAP. Comptage incrémentiel Nombre de connexions ajoutées au pool de connexions LDAP chaque fois qu’une connexion est demandée, une fois que toutes les connexions sont en cours d’utilisation.
Informations sur l’installation de WebSphere Application Server dans une configuration à serveur unique L’installation de WebSphere Application Server dans une configuration à serveur unique comporte les zones ci-dessous. Pour plus d’informations, voir Annexe B, «Préparation de l’environnement WebSphere», à la page 115. Nom d’hôte de cette station de travail _____________________ Affiché lors de l’installation dans une configuration à serveur unique, ce nom correspond au nom d’hôte valide de l’ordinateur physique sur lequel WebSphere Application Server base est installé. Cette zone n’apparaît pas si WebSphere Application Server base est déjà installé. Remarque : Si le protocole DHCP sert à déterminer l’adresse IP de l’ordinateur, n’utilisez pas le nom d’hôte complet de l’ordinateur. Utilisez uniquement le nom abrégé. Répertoire d’installation ______________________________ Répertoire d’installation de WebSphere Application Server base. Par exemple, le répertoire par défaut Solaris est /opt/WebSphere/AppServer. Cette zone est soumise aux conditions suivantes : v Requise si le programme d’installation de Tivoli Identity Manager installe WebSphere Application Server base. v A des fins de confirmation, si WebSphere Application Server base est déjà installé.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
43
Nom de noeud ___________________________ Le nom de noeud défini par l’utilisateur est généralement identique au nom d’hôte d’un ordinateur physique comportant une adresse d’hôte IP fixe. Port ______________________________ Port d’écoute de WebSphere Application Server. La valeur par défaut est 9090. Vous devez vous assurer que ce port est disponible. Cette zone n’apparaît pas si WebSphere Application Server base est déjà installé. Nom du serveur ___________________________ Si WebSphere Application Server a précédemment été installé, vous êtes invité à entrer le nom de WebSphere Application Server dans cette zone. Il s’agit du serveur WebSphere Application Server sur lequel vous déployez Tivoli Identity Manager lors d’une installation à serveur unique. Configuration de paramètres généraux de sécurité Les zones ci-dessous apparaissent dans l’onglet de sécurité de la configuration système. Chiffrement (case à cocher) Permet le chiffrement du mot de passe correspondant à l’ID utilisateur de l’administrateur de base de données, LDAP et WebSphere Application Server dans les fichiers de propriétés Tivoli Identity Manager. Gestion des utilisateurs du serveur d’applications Permet de définir et de confirmer le mot de passe des utilisateurs suivants : Utilisateur système ID et mot de passe de l’utilisateur WebSphere Application Server. Requis uniquement si la sécurité globale WebSphere est activée. Il s’agit de l’ID utilisateur dont la valeur est wasadmin, comme décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129. Utilisateur d’EJB Utilisateur et mot de passe à définir avant de lancer l’installation. Requis uniquement si la sécurité globale WebSphere est activée. Il s’agit de l’ID utilisateur dont la valeur est itimadmin, comme décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129. Remarque : Si cette zone est préalablement remplie lorsqu’elle s’affiche, il se peut qu’elle contienne la valeur wasadmin. Remplacez cette valeur par itimadmin.
Informations sur IBM HTTP Server Collectez les informations suivantes : Répertoire d’installation ______________________________ Cette zone s’affiche lors de l’installation dans une configuration à serveur unique. Elle n’apparaît que si WebSphere Application Server et IBM HTTP Server ne sont pas installés. Il s’agit du répertoire dans lequel IBM HTTP Server est installé.
44
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Informations sur Tivoli Identity Manager Prenez connaissance des informations suivantes concernant Tivoli Identity Manager : Clé de chiffrement La clé peut correspondre à un mot ou une phrase. Elle sert à chiffrer les mots de passe Tivoli Identity Manager et tout autre texte confidentiel. La valeur est stockée dans le fichier enRole.properties sous la forme enrole.encryption.password. Niveau de consignation Affiche le niveau prolixe des journaux lors du traçage des erreurs système. Les administrateurs système peuvent sélectionner le niveau de détail du fichier journal en affectant à la zone Niveau de consignation une valeur comprise entre INFO et FATAL. Plus le niveau de consignation est grave, meilleures sont les performances du système car une quantité moins importante de données est écrite dans le fichier journal. Nom du serveur de messagerie Les serveurs de messagerie SMTP sont pris en charge. L’hôte SMTP correspond à la passerelle de messagerie. ID utilisateur ____gestionnaire itim________ ID utilisateur Tivoli Identity Manager. La valeur par défaut à la suite de l’installation est gestionnaire itim. Employez cet ID utilisateur lorsque vous vous connectez à Tivoli Identity Manager. Mot de passe ____secret______________ Mot de passe correspondant à l’ID utilisateur de l’administrateur Tivoli Identity Manager, désigné par gestionnaire itim. Le mot de passe par défaut utilisé immédiatement à la suite de l’installation est secret. Remarque : Lorsque vous vous connectez au serveur Tivoli Identity Manager, vous êtes obligé de modifier le mot de passe du compte administrateur.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
45
Installation du serveur Tivoli Identity Manager L’organigramme suivant décrit la séquence de base des événements lors de l’installation du serveur Tivoli Identity Manager dans une configuration à serveur unique :
Figure 5. Organigramme d’une installation dans une configuration à serveur unique (UNIX)
46
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Pour installer le serveur Tivoli Identity Manager dans une configuration à serveur unique, effectuez les opérations suivantes : 1. «Navigation dans les fenêtres de bienvenue et de licence» 2. «Sélection du type d’installation et du répertoire d’installation» à la page 49 3. «Sélection d’une base de données» à la page 50 4. «Fenêtres relatives à une installation dans une configuration à serveur unique» à la page 50 5. «Spécification de la sécurité globale de WebSphere» à la page 52 6. «Spécification d’une clé de cryptage et lecture du résumé de la pré-installation» à la page 54 7. «Progression de l’installation et autres activités de configuration» à la page 55 8. «Journaux et répertoires pour l’installation dans une configuration à serveur unique» à la page 64 9. «Configuration de la sécurité» à la page 64 10. «Test des communications du serveur Tivoli Identity Manager» à la page 65
Navigation dans les fenêtres de bienvenue et de licence Une série de fenêtres de bienvenue et de licence démarre le processus d’installation. Pour naviguer dans les fenêtres initiales, procédez comme suit : 1. Connectez-vous à l’ordinateur sur lequel le serveur Tivoli Identity Manager va être installé. Remarques : a. Vous devez vous connecter à l’aide d’un compte doté de droits d’administration système (root). b. Si la base de données est IBM DB2, assurez-vous que vous avez déjà configuré le profil IBM DB2. 2. Insérez le CD-ROM du produit Tivoli Identity Manager dans l’unité de CD-ROM. Pour localiser le CD-ROM correspondant à votre environnement, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. 3. Ouvrez une invite de commande et accédez à votre unité de CD-ROM. Le programme d’installation de Tivoli Identity Manager est le suivant : v AIX : instAIX-WAS.bin v HP-UX : instHPUX-WAS.bin v Solaris : instSOL-WAS.bin v Linux : instLINUX-WAS.bin 4. Si vous installez uniquement Tivoli Identity Manager, vous pouvez lancer le programme d’installation directement à partir du CD-ROM. Si vous installez Tivoli Identity Manager et WebSphere Application Server base, vous ne pouvez PAS lancer le programme d’installation à partir du CD-ROM. Procédez comme suit : a. Copiez le programme d’installation de Tivoli Identity Manager vers un répertoire temporaire créé sur un disque dur. b. Lancez le programme d’installation de Tivoli Identity Manager à partir du répertoire temporaire afin d’installer Tivoli Identity Manager et WebSphere Application Server base.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
47
La fenêtre de bienvenue s’affiche.
Figure 6. Fenêtre de bienvenue
5. Pour modifier la langue utilisée uniquement dans les écrans d’installation, cliquez sur la flèche vers le bas dans la boîte indiquant Anglais, puis sélectionnez une autre langue. Cliquez sur OK. Remarque : Cette option ne permet pas de sélectionner le module de langue avec lequel l’application Tivoli Identity Manager s’exécute ultérieurement. La fenêtre Contrat de licence s’affiche. 6. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, cliquez sur Accepter. Cliquez sur Suivant.
48
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Sélection du type d’installation et du répertoire d’installation La fenêtre Choisissez le type d’installation s’affiche.
Figure 7. Fenêtre Choisissez le type d’installation
Procédez comme suit : 1. Sélectionnez l’option Serveur unique et cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 2. Acceptez le répertoire d’installation par défaut /itim45 ou sélectionnez un autre répertoire en cliquant sur Choisir. Cliquez sur Suivant.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
49
Sélection d’une base de données La fenêtre Choisissez le type de base de données s’affiche. Sélectionnez un des types de base de données suivants, puis cliquez sur Suivant : v IBM DB2 Universal Database Si IBM DB2 est la base de données, configurez le profil DB2 en indiquant un répertoire db2InstanceHome valide, avant de lancer le programme d’installation de Tivoli Identity Manager. Pour plus d’informations, voir «Configuration du pilote JDBC IBM DB2» à la page 15. v Oracle. Pour plus d’informations, voir «Installation et configuration d’Oracle pour Tivoli Identity Manager» à la page 18.
Fenêtres relatives à une installation dans une configuration à serveur unique La séquence suivante se produit pour une installation dans une configuration à serveur unique si WebSphere Application Server et IBM HTTP Server ne sont pas détectés : 1. Une fenêtre vous invite à indiquer les répertoires d’installation utilisés pour WebSphere Application Server et IBM HTTP Server.
Figure 8. Fenêtre Entrer les données suivantes pour installer WebSphere Application Server
50
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Acceptez les répertoires par défaut ou entrez d’autres répertoires dans lesquels vous voulez installer WebSphere Application Server et IBM HTTP Server. Cliquez sur Suivant. Remarque : Si un serveur WebSphere Application Server déjà existant doté de la version correcte est détecté, une autre fenêtre apparaît. Si un serveur IBM HTTP Server déjà existant doté de la version correcte est détecté, la zone qui lui est associée n’apparaît pas dans cette fenêtre. 2. Une autre fenêtre vous invite à entrer le nom d’hôte du poste de travail, un nom de noeud et le port d’écoute de WebSphere Application Server. Remarque : Si WebSphere Application Server est déjà installé, une fenêtre vous invite à entrer le nom de noeud WebSphere et le nom de WebSphere Application Server. Si DHCP sert à déterminer l’adresse IP de l’ordinateur, n’utilisez pas le nom d’hôte complet de l’ordinateur. Utilisez uniquement le nom abrégé. Par exemple, identity1 est le nom abrégé et identity1.tivlab.raleigh.ibm.com le nom complet.
Figure 9. Fenêtre Entrer les données suivantes pour installer WebSphere Application Server Base
Acceptez les valeurs par défaut ou apportez les modifications appropriées. Cliquez sur Suivant. 3. Si Tivoli Identity Manager installe WebSphere Application Server, d’autres fenêtres décrivent les produits prérequis par WebSphere Application Server. Notez la configuration requise. Cliquez sur OK. Remarque : Si cette installation s’effectue sous Solaris, assurez-vous que les autres valeurs du noyau système requises pour Tivoli Identity Manager sont définies correctement. Pour obtenir une liste des valeurs de noyau, voir IBM Tivoli Identity Manager Release Notes. Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
51
Spécification de la sécurité globale de WebSphere La fenêtre Sécurité WebSphere s’affiche. Remarque : Les fenêtres de sécurité et d’autorisation d’accès WebSphere ne s’affichent que lorsque WebSphere Application Server est déjà installé.
Figure 10. Fenêtre Sécurité WebSphere
Si la sécurité globale de WebSphere est activée, cliquez sur Sécurité WebSphere activée. Dans une autre fenêtre, vous devez indiquer l’ID utilisateur et le mot de passe WebSphere Application Server. Il s’agit de l’ID utilisateur wasadmin décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129.
52
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Figure 11. Fenêtre Entrez les autorisations d’accès de l’administrateur WebSphere
Entrez l’ID utilisateur et le mot de passe, puis cliquez sur Suivant.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
53
Spécification d’une clé de cryptage et lecture du résumé de la pré-installation La fenêtre Spécifiez la clé de cryptage s’affiche. Elle est suivie d’une fenêtre récapitulant l’installation.
Figure 12. Fenêtre Spécifiez la clé de cryptage
1. Indiquez une clé de cryptage, qui peut correspondre à un mot ou une phrase. La clé sert à chiffrer les mots de passe Tivoli Identity Manager et tout autre texte confidentiel. La valeur est stockée dans le fichier enRole.properties sous forme de enrole.encryption.password. Cliquez sur Suivant. La fenêtre Résumé de la pré-installation s’affiche. Elle répertorie les composants à installer, l’espace disque disponible requis et le répertoire d’installation, par exemple, /itim45. 2. Avant de continuer, assurez-vous que l’espace disque requis est disponible, puis cliquez sur Installer. Si Tivoli Identity Manager installe WebSphere Application Server, une fenêtre apparaît au bouton d’un certain temps ; elle vous invite à indiquer le répertoire qui contient les fichiers binaires d’installation de WebSphere Application Server. 3. Spécifiez le point de montage des fichiers d’installation de la manière suivante, puis cliquez sur Suivant : v AIX : point_montage/aix v HP-UX : point_montage/hpux v Solaris : point_montage/sun v Linux : entrez point_montage/linuxi386
54
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Une série de fenêtres de progression s’affichent pendant la durée de l’installation. Sur un ordinateur doté des ressources minimales requises, l’installation peut prendre un temps considérable.
Figure 13. Fenêtre de progression de l’installation
Progression de l’installation et autres activités de configuration Le processus d’installation permet d’installer le serveur Tivoli Identity Manager sur un intervalle de temps. A la suite de l’installation, d’autres fenêtres s’affichent automatiquement : 1. «Configuration initiale de la base de données de Tivoli Identity Manager» 2. «Configuration initiale de l’annuaire de Tivoli Identity Manager» à la page 57 3. «Configuration initiale de Tivoli Identity Manager» à la page 58
Configuration initiale de la base de données de Tivoli Identity Manager Une fenêtre de configuration de base de données apparaît pour les configurations suivantes : v Serveur unique v Installation en clusters ou en clusters fonctionnels sur l’ordinateur doté de Network Deployment Manager Cette opération de configuration permet de configurer les fichiers de propriétés et les tables de la base de données Tivoli Identity Manager.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
55
Procédez comme suit : 1. Entrez les valeurs appropriées lorsque la fenêtre Tivoli Identity Manager Configuration de la base de données s’affiche.
Figure 14. Fenêtre Configuration de la base de données
Remarque : Le processus d’installation de Tivoli Identity Manager n’intègre pas le pilote JDBC d’Oracle (fichier classes12.zip). Si vous utilisez Oracle comme base de données, un message java.lang.ClassNotFoundException est généré lors du test de la connexion à la base de données. Pour corriger cela, procédez comme suit : a. Cliquez sur Annuler pour quitter le programme de configuration de la base de données et continuer l’installation. b. Une fois l’installation terminée, procédez comme suit : 1) Copiez le pilote JDBC d’Oracle (fichier classes12.zip) du répertoire local temporaire que vous avez créé précédemment dans le répertoire ITIM_HOME/lib de l’ordinateur sur lequel vous installez IBM Tivoli Identity Manager. Pour plus d’informations sur la manière d’obtenir une copie du pilote JDBC d’Oracle (fichier classes12.zip), voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. Pour plus d’informations sur le répertoire temporaire, reportez-vous à la liste précédente relative aux tâches à effectuer avant l’installation de Tivoli Identity Manager. 2) Affichez la fenêtre de configuration de la base de données à l’aide de la commande suivante : ITIM_HOME/bin/DBConfig
3) Configurez la base de données. 4) Arrêtez WebSphere Application Server à l’aide de la commande suivante : WAS_HOME/bin/stopServer.sh nomserveur
56
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
5) Démarrez WebSphere Application Server à l’aide de la commande suivante : WAS_HOME/bin/startServer.sh nomserveur
2. Complétez les zones de configuration de la base de données utilisée par Tivoli Identity Manager. S’il s’agit de la base de données IBM DB2, les zones Adresse IP et Numéro de port sont grisées. Ces zones sont obligatoires pour les autres bases de données. Par exemple, la valeur entrée dans la zone Nom ou alias de base de données est similaire à itimdb. La valeur entrée dans la zone ID d’administration correspond à une des suivantes : v UNIX : db2inst1 v Windows : db2admin Pour plus d’informations, voir «Configuration du serveur IBM DB2» à la page 12. 3. Cliquez sur Tester. Une fois que le test de la base de données a abouti, les zones ID utilisateur et Mot de passe utilisateur de la fenêtre Configuration de la base de données sont activées. 4. Complétez les zones à l’aide des valeurs appropriées, puis cliquez sur Continuer.
Configuration initiale de l’annuaire de Tivoli Identity Manager Une fenêtre de configuration de serveur d’annuaires apparaît pour les configurations suivantes : v Serveur unique v Installation en clusters ou en clusters fonctionnels sur l’ordinateur doté de Network Deployment Manager Entrez les valeurs appropriées pour configurer le serveur d’annuaires de sorte qu’il reconnaisse Tivoli Identity Manager. Procédez comme suit : 1. Complétez les zones Informations sur le serveur LDAP. Par exemple, la valeur de la zone Nom d’hôte correspond au nom d’hôte complet de l’ordinateur sur lequel le serveur d’annuaires est en cours d’exécution.
Figure 15. Fenêtre Configuration de l’annuaire
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
57
2. Cliquez sur Tester. Une fois que le test d’une connexion au serveur d’annuaires a abouti, les zones de la section Identity Manager - Informations sur l’annuaire sont activées. 3. La valeur entrée dans la zone Identity Manager - Emplacement du nom distinctif est dc=mon_suffixe, ce qui indique le suffixe de Tivoli Identity Manager. Pour plus d’informations, voir «Définition du suffixe de Tivoli Identity Manager» à la page 28. Complétez les zones à l’aide de valeurs appropriées, puis cliquez sur Continuer.
Configuration initiale de Tivoli Identity Manager Pour tous les types d’installation, utilisez la fenêtre Configuration système que le serveur Tivoli Identity Manager fournit pour modifier les valeurs du serveur de base de données, le serveur d’annuaires et d’autres services : 1. L’onglet Général est le premier d’une série d’onglets de configuration système permettant de configurer serveur Tivoli Identity Manager.
Figure 16. Fenêtre de l’onglet Général
Les valeurs des zones de l’onglet Général sont remplies au préalable. Pour plus de détails sur ces zones, consultez les informations de configuration système dans le document IBM Tivoli Identity Manager Configuration Guide.
58
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
2. Cliquez sur l’onglet Répertoire. La fenêtre de l’onglet Répertoire s’affiche.
Figure 17. Fenêtre de l’onglet Répertoire
Si nécessaire, modifiez les informations relatives au serveur d’annuaires. Si cette installation s’effectue sur un membre de cluster, les informations doivent correspondre à la spécification LDAP qui a précédemment été effectuée pour Network Deployment Manager. 3. Cliquez sur l’onglet Base de données. La fenêtre de l’onglet Base de données s’affiche.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
59
Figure 18. Fenêtre de l’onglet Base de données
4. Indiquez le nom de la base de données Tivoli Identity Manager. Par exemple, la valeur d’un nom de base de données peut être itimdb. L’ID utilisateur par défaut est enrole. Si cette installation s’effectue sur un membre de cluster, les informations doivent correspondre à la spécification de base de données qui a précédemment été effectuée pour Network Deployment Manager. 5. Cliquez sur Consignation. La fenêtre de l’onglet Consignation s’affiche.
Figure 19. Fenêtre de l’onglet Consignation
60
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
6. Acceptez la valeur par défaut de WARN ou remplacez les valeurs par un niveau plus ou moins prolixe, en fonction des facteurs de performances du site. 7. Cliquez sur l’onglet Courrier. La fenêtre correspondant à l’onglet Courrier s’affiche.
Figure 20. Fenêtre de l’onglet Courrier
8. Entrez les valeurs requises dans l’onglet Courrier, puis cliquez sur OK. Pour plus de détails sur ces zones, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Remarques : a. La valeur de la zone URL du serveur Identity Manager correspond à l’URL du serveur proxy (par exemple, IBM HTTP Server). b. Remplacez l’adresse indiquée dans la zone Courrier de par l’adresse électronique de l’administrateur système Tivoli Identity Manager de votre site. Vous devez modifier cette adresse, sinon vous enverrez un spam à l’adresse électronique affichée.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
61
9. Cliquez sur Interface utilisateur. La fenêtre de l’onglet Interface utilisateur s’affiche.
Figure 21. Fenêtre de l’onglet Interface utilisateur
10. Acceptez les valeurs de l’onglet Interface utilisateur ou modifiez les informations de logo et d’adresse pour définir l’adresse Web et l’écran d’accueil personnalisé de votre organisation. La zone Taille de page de liste indique le nombre d’éléments à afficher sur les listes de l’interface utilisateur. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Cliquez sur OK.
62
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
11. Cliquez sur Sécurité. La fenêtre correspondant à l’onglet Sécurité s’affiche.
Figure 22. Fenêtre de l’onglet Sécurité
Si la sécurité globale WebSphere est activée et qu’un ID utilisateur et un mot de passe d’administrateur ont été entrés, ces zones sont déjà remplies. Les zones sont à blanc si la sécurité globale WebSphere n’est pas activée. Remarques : a. Les valeurs initiales des zones Utilisateur d’EJB et Mot de passe de l’utilisateur d’EJB correspondent aux valeurs des zones Utilisateur système et Mot de passe de l’utilisateur système. Il est peut-être nécessaire de modifier les zones Utilisateur d’EJB et Mot de passe de l’utilisateur d’EJB. La longueur de l’ID utilisateur d’EJB doit être inférieure à 12 caractères. b. Si vous modifiez la valeur de l’ID utilisateur d’EJB ou du mot de passe d’EJB dans cette fenêtre Sécurité de la configuration système, vous devez effectuer la procédure manuelle après l’installation de Tivoli Identity Manager pour mapper le rôle de sécurité vers l’utilisateur ITIM afin de démarrer Tivoli Identity Manager. Pour plus d’informations, voir Annexe C, «Remarques sur la sécurité», à la page 129. 12. Cliquez sur OK pour terminer la configuration du système. 13. En outre, assurez-vous que les autres valeurs sont appropriées pour l’exécution de la configuration utilisée par Tivoli Identity Manager et les applications associées.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
63
Journaux et répertoires pour l’installation dans une configuration à serveur unique Une fois la configuration du système terminée, notez les emplacements des journaux suivants : Tableau 2. Répertoires et noms de fichiers journaux d’installation Noms de fichier
Répertoire
dbConfig.stdout ldapConfig.stdout itim45_installer_debug.txt runConfig.stdout (cluster) runConfigTmp.stdout (serveur unique et Network Deployment Manager)
ITIM_HOME/journaux_installation
itim45_install.stdout itim45_install.stderr
répertoire racine du système
Tivoli_Identity_Manager_InstallLog.log
Si l’installation aboutit, le répertoire est ITIM_HOME. Si l’installation échoue, le fichier journal sera dans le répertoire racine du système..
log.txt ihs_log.txt mq_install.log serveur1/SystemOut.log itim.log
WAS_HOME/logs
Si le processus d’installation de Tivoli Identity Manager installe WebSphere Application Server, les répertoire suivants existent : Tableau 3. Autres répertoires d’application Application
Répertoire
support de messagerie intégrée WebSphere v AIX : /usr/mqm et /var/mqm v Plateformes autres qu’AIX : /opt/mqm et /var/mqm
Pour plus de détails sur les fichiers journaux WebSphere Application Server, consultez la documentation WebSphere Application Server.
Configuration de la sécurité Pour activer la Sécurité J2EE, procédez comme suit : v Effectuez les étapes manuelles permettant le mappage, puis redémarrez la Sécurité J2EE après l’installation de Tivoli Identity Manager. Pour plus d’informations, voir «Procédure manuelle pour les déploiements à noeud unique après l’installation de Tivoli Identity Manager» à la page 130. v Assurez-vous que le fichier was.policy existe. Pour plus d’informations, voir «Configuration du fichier was.policy» à la page 131.
64
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Utilisation de runConfig après l’installation de Tivoli Identity Manager Utilisez la commande runConfig après l’installation de Tivoli Identity Manager pour effectuer la configuration système des activités telles que les suivantes : v Modification du mot de passe de l’utilisateur enrole. v Spécification du chiffrement de mot de passe et mise à jour des ID et mots de passe de l’utilisateur d’EJB Tivoli Identity Manager. Pour plus d’informations, reportez-vous aux descriptions des onglets de la fenêtre Configuration système dans la section «Configuration initiale de Tivoli Identity Manager» à la page 58. Pour plus d’informations sur l’utilisation de la commande runConfig, consultez le document IBM Tivoli Identity Manager Configuration Guide.
Installation facultative d’un module de langue Après avoir installé Tivoli Identity Manager, si l’anglais n’est pas la langue par défaut, vous avez la possibilité de vous procurer et de monter le CD-ROM des modules de langue du serveur Tivoli Identity Manager. Pour installer le module de langue, utilisez le mode ligne de commande. Par exemple, entrez : java –jar itimlp_setup.jar
Le programme d’installation du module de langue Tivoli Identity Manager démarre. Pour installer un module de langue, suivez les instructions apparaissant dans les écrans du programme d’installation. Remarque : Pour lancer le programme d’installation du module de langue Tivoli Identity Manager, vous devez pouvoir accéder à l’environnement d’exécution Java 1.3.1 à partir de la ligne de commande.
Test des communications du serveur Tivoli Identity Manager Pour vérifier si la base de données, le serveur d’annuaires et le serveur Tivoli Identity Manager sont correctement configurés et qu’ils communiquent les uns avec les autres, procédez comme suit : 1. Testez le pilote JDBC pour vous assurer qu’il est en cours d’exécution : a. Avant de commencer, vérifiez que le serveur de base de données et WebSphere Application Server sont en cours d’exécution. Pour plus d’informations sur le démarrage de WebSphere Application Server, consultez la documentation fournie par WebSphere Application Server. b. Accédez à la console d’administration WebSphere Application Server. c. Cliquez sur Ressources –> Fournisseurs JDBC. Sélectionnez le noeud cible. d. Choisissez serveur pour la portée, sélectionnez un serveur cible tel que serveur1, puis cliquez sur Valider. e. Faites défiler la fenêtre jusqu’à la liste des fournisseurs JDBC et cliquez deux fois sur Fournisseur JDBC ITIM. f. Faites défiler la boîte de dialogue qui apparaît jusqu’à la sous-fenêtre Propriétés supplémentaires. Cliquez sur Sources de données. g. Dans la boîte de dialogue Sources de données qui s’affiche, cliquez sur Tester la connexion. Un message indiquant le résultat du test apparaît. Si le test échoue, vérifiez que vous avez configuré le profil IBM DB2 correctement. Si vous utilisez IBM DB2 version 7.1 ou 7.2 avec les kits de mise à jour requis par ce produit, vérifiez que vous avez exécuté le script shell usejdbc2 dans le shell, avant de démarrer WebSphere Application Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
65
Server. Testez de nouveau la connexion. Si celle-ci ne fonctionne pas, vérifiez que l’ID utilisateur enrole et le mot de passe sont correctement configurés. Si le serveur IBM DB2 est éloigné, assurez-vous que le même niveau de kit de mise à jour IBM DB2 est appliqué au serveur de base de données et au client. Remarque : Le Fix Pack 3 permet la migration de l’environnement IBM DB2 version 7.1 vers le niveau de disponibilité générale IBM DB2 version 7.2. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. 2. L’installation dans une configuration à serveur unique démarre automatiquement le serveur Tivoli Identity Manager. Si le serveur n’est pas en cours d’exécution, démarrez le serveur Tivoli Identity Manager et toutes les applications prérequises. Si IBM DB2 est utilisé, veillez à configurer le profil IBM DB2 avant de démarrer WebSphere Application Server. Entrez : WAS_HOME/bin/startServer.sh nomserveur
Par exemple : WAS_HOME/bin/startServer.sh serveur1
3. Connectez-vous à Tivoli Identity Manager. Par exemple, dans une fenêtre de navigation, entrez : http://nom_hôte/enrole
où nom_hôte désigne le nom complet ou l’adresse IP de l’ordinateur sur lequel le serveur Tivoli Identity Manager est en cours d’exécution. Remarques : a. Ne lancez pas deux sessions de navigateur distinctes à partir du même poste client. Les deux sessions sont considérées comme étant un seul ID session, ce qui donne lieu à des incidents au niveau des données. b. Si vous vous connectez à l’aide de la fonction de connexion unique et que vous avez besoin de sélectionner une langue, ajoutez /language à l’adresse du site Web. Par exemple, entrez : https://monsite.masociete.com/itim/enrole/language
Pour plus d’informations sur la configuration des paramètres de langue par défaut de votre navigateur Web, consultez le document IBM Tivoli Identity Manager Configuration Guide. 4. Entrez l’ID utilisateur (″gestionnaire itim″) et le mot de passe (immédiatement après l’installation, la valeur est ″secret″) de l’administrateur Tivoli Identity Manager. 5. Prenez les mesures nécessaires pour la création d’un utilisateur (utilisateur ITIM). Pour plus de détails, consultez l’aide en ligne ou le document IBM Tivoli Identity Manager Policy and Organization Administration Guide. Pour plus d’informations sur les processus qui doivent être en cours d’exécution, consultez le document IBM Tivoli Identity Manager Configuration Guide.
66
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Communications serveur-agent L’utilisation du système Tivoli Identity Manager avec un agent Tivoli Identity Manager requiert des certificats de production garantissant des communications sécurisées entre le serveur Tivoli Identity Manager et l’agent. L’autorité de certification correspondant au certificat de l’agent Tivoli Identity Manager doit se trouver dans le répertoire ITIM_HOME/cert. Pour connaître les types de certificats pris en charge, consultez le document IBM Tivoli Identity Manager Configuration Guide. Pour plus d’informations, reportez-vous au guide d’installation d’un agent spécifique. Remarques : 1. Installez un seul profil d’agent à la fois, puis terminez l’installation du profil avant d’installer un autre profil d’agent. L’installation simultanée de plusieurs profils risque d’entraîner le redémarrage forcé du serveur Tivoli Identity Manager. 2. Si la langue par défaut n’est pas l’anglais, vous avez la possibilité, avant d’installer le premier agent Tivoli Identity Manager, de vous procurer et de monter le CD-ROM du module de langue des agents Tivoli Identity Manager. Pour installer le module de langue des agents sur le serveur Tivoli Identity Manager, utilisez le mode ligne de commande : java –jar itimlp_agents_setup.jar
Le programme d’installation du module de langue Tivoli Identity Manager démarre. Pour installer un module de langue, suivez les instructions apparaissant dans les écrans du programme d’installation. Remarque : Pour lancer le programme d’installation du module de langue Tivoli Identity Manager, vous devez pouvoir accéder à l’environnement d’exécution Java 1.3.1 à partir de la ligne de commande.
Chapitre 5. Installation dans une configuration à serveur unique : serveur Tivoli Identity Manager
67
68
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager Le présent chapitre décrit l’installation et la configuration du serveur Tivoli Identity Manager dans une configuration en clusters ou en clusters fonctionnels. Avant de continuer, lisez la section «Limites de l’environnement WebSphere à l’aide de Tivoli Identity Manager» à la page 10. Remarques : 1. Dans un environnement à clusters, l’installation de Tivoli Identity Manager n’installe pas automatiquement WebSphere Application Server. Avant d’installer Tivoli Identity Manager sur un cluster, installez et configurez les composants WebSphere. 2. L’installation de Tivoli Identity Manager sur des clusters doit être effectuée de manière séquentielle, un ordinateur à la fois. 3. Pour plus d’informations sur les versions d’application et les kits de mise à jour requis, voir IBM Tivoli Identity Manager Release Notes. Les tâches d’installation sont les suivantes : v «Avant de commencer» v «Installation du serveur Tivoli Identity Manager» à la page 78
Avant de commencer Avant de commencer, procédez comme suit : v Recherchez le jeu de CD-ROM approprié ou le kit de mise à jour permettant d’installer Tivoli Identity Manager. Pour plus d’informations, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. v Si IBM DB2 est la base de données, configurez le profil DB2 en indiquant un répertoire db2InstanceHome valide. Pour plus d’informations, voir «Configuration du pilote JDBC IBM DB2» à la page 15. v Si vous utilisez Oracle comme base de données, procurez-vous le pilote JDBC d’Oracle (fichier classes12.zip) et copiez-le dans un répertoire local temporaire. v Déterminez si une configuration WebSphere Application Server pré-existante sur votre site correspond à une des configurations répertoriées dans la section «Limites de l’environnement WebSphere à l’aide de Tivoli Identity Manager» à la page 10. v Effectuez les étapes permettant de construire une cellule WebSphere Application Server et un ou plusieurs clusters, décrites dans les sections «Création de clusters à l’aide de Network Deployment Manager» à la page 72, et «Configuration des clusters Tivoli Identity Manager» à la page 120.
© Copyright IBM Corp. 2004
69
v Assurez-vous que les éléments suivants sont en cours d’exécution : Tableau 4. Applications devant être en cours d’exécution Produit prérequis
Pour plus d’informations, voir :
Base de données
Chapitre 3, «Configuration de la base de données», à la page 11
Serveur d’annuaires
Chapitre 4, «Configuration du serveur d’annuaires», à la page 27
Network Deployment Manager
«Vérification de l’exécution de Network Deployment Manager et des agents de noeud» à la page 125
Agents du noeud WebSphere Application Server
Serveurs JMS WebSphere Application Il s’agit du support de messagerie intégrée Server WebSphere Remarque : Si WebSphere MQ version 5.3 existe déjà, voir «Utilisation d’un serveur WebSphere MQ version 5.3 existant» à la page 119.
v Assurez-vous que les conditions d’espace disque disponible et de mémoire virtuelle sont remplies. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. Remarque : L’installation échoue si l’espace et les autres conditions requises ne correspondent pas à ceux décrits dans les conditions matérielles et logicielles requises répertoriées dans IBM Tivoli Identity Manager Release Notes. v Vérifiez que vous disposez du droit d’administration (root) correct. Sinon, procurez-vous ce droit et redémarrez le système pour activer l’accès approprié. v Veillez à résoudre tous les incidents de port. Pour plus d’informations, voir «Résolution des incidents de port» à la page 71. v Sur l’ordinateur sur lequel Tivoli Identity Manager va être installé, définissez la valeur appropriée pour votre environnement local afin de vous assurer que le format de langue est reconnu. Remarque : Pour le japonais, assurez-vous que la méthode de codage SJIS est prise en charge. Si ces valeurs ne sont pas définies, les informations sur la licence risquent de ne pas être visualisables. Par exemple, définissez la valeur suivante pour la variable d’environnement local : – Solaris : LC_ALL=ja_JP.PKC – AIX : LC_ALL=Ja_JP v Assurez-vous que WebSphere Application Server Fix Pack 2 est également installé sur l’ordinateur qui est doté du serveur Web. Arrêtez ce dernier avant d’installer le kit de mise à jour. Remarque : Il se peut que la configuration contienne plusieurs plug-ins Web WebSphere, y compris un plug-in du serveur Web WebSphere sur l’ordinateur doté de WebSphere Application Server Network Deployment. v Complétez la feuille de travail contenant des informations correspondant à votre configuration.
70
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Résolution des incidents de port Les incidents de port suivants risquent de se produire : v Avant d’installer Tivoli Identity Manager, assurez-vous que le même port SOAP pour WebSphere 5.0 est défini dans les emplacements suivants : – com.ibm.ws.scripting.port dans le fichier suivant : WAS_NDM_HOME/properties/wsadmin.properties
– Port dans SOAP_CONNECTOR_ADDRESS de serveur1 dans le fichier suivant : WAS_NDM_HOME/config/cells/nom_cellule/nodes/nom_noeud/serverindex.xml
Si les valeurs sont différentes, corrigez le numéro de port en procédant comme suit : 1. Ouvrez le fichier wsadmin.properties. 2. Remplacez la valeur de com.ibm.ws.scripting.port par la valeur trouvée dans le fichier serverindex.xml. Remarques : 1. Si l’installation échoue car le numéro de port SOAP est incorrect, corrigez la spécification de port, puis relancez la commande runConfig. 2. Si WebSphere Application Server Network Deployment et WebSphere Application Server sont installés sur le même système, utilisez le numéro de port extrait du fichier serverindex.xml qui s’applique au gestionnaire WebSphere Application Server Network Deployment. v Une fois l’installation terminée, le processus de connexion Tivoli Identity Manager échoue si les valeurs de port d’hôte virtuel sont différentes des valeurs requises par Tivoli Identity Manager. Pour Tivoli Identity Manager, vous devez indiquer les valeurs de port d’hôte virtuel 80 et 9443. Le port 9443 est utilisé si la fonction de communication sécurisée est activée. L’installation d’une seule instance d’un serveur WebSphere sur un ordinateur indique les valeurs correctes des numéros de port d’hôte virtuel à utiliser par Tivoli Identity Manager. Cependant, l’installation d’une seconde instance d’un serveur WebSphere, telle que Network Deployment Manager, sur le même ordinateur augmente les numéros de port indiqués pour Network Deployment Manager. Par exemple, les numéros de port d’hôte virtuel augmentent de 80 à 81 et de 9443 à 9444. Vous devez reconfigurer les numéros de port de sorte qu’ils correspondent aux numéros requis par Tivoli Identity Manager. Pour corriger les numéros de port d’hôte virtuel, accédez à la console d’administration WebSphere et procédez comme suit : 1. Cliquez sur Environnement –> Hôtes virtuels –> Hôte par défaut–> Alias d’hôte. 2. Remplacez les valeurs de port d’hôte virtuel par 80 et par 9443. 3. Sauvegardez la configuration dans le référentiel maître en sélectionnant Synchroniser les modifications avec les noeuds. 4. Cliquez sur Mise à jour du plug-in du serveur Web puis sur OK. 5. Redémarrez le cluster.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
71
Création de clusters à l’aide de Network Deployment Manager Remarque : Pour plus d’informations sur la spécification d’une cellule WebSphere, voir «Configuration des clusters Tivoli Identity Manager» à la page 120. Pour créer un cluster et le remplir de membres de cluster, effectuez les opérations suivantes à l’aide de la console d’administration WebSphere avant de lancer l’installation de Tivoli Identity Manager : 1. Connectez-vous à la console d’administration de Network Deployment Manager. 2. Dans la sous-fenêtre de gauche, cliquez sur Serveurs –> Clusters. 3. Cliquez sur Nouveau. La boîte de dialogue de création de cluster apparaît. 4. Entrez un nouveau nom de cluster. Par exemple, entrez ITIM_CLUSTER. Remarques : a. Si vous créez un cluster fonctionnel comportant plusieurs clusters, renouvelez ce processus et indiquez un nom de cluster tel que ITIM_UI_CLUSTER pour un cluster assurant le niveau d’interface utilisateur Tivoli Identity Manager et ITIM_WF_CLUSTER pour un autre cluster assurant le niveau de workflow Tivoli Identity Manager. b. Les noms de cluster font la distinction entre les majuscules et les minuscules. 5. Cliquez sur Suivant. La boîte de dialogue Créez des serveurs en clusters apparaît. 6. Si on part du principe que avez plusieurs membres de cluster à indiquer, entrez le nom d’un nouveau membre de cluster, sélectionnez le noeud associé et cliquez sur Valider. Une liste de membres de cluster apparaît dans la partie inférieure de la boîte de dialogue Créez des serveurs en clusters. Consultez la liste pour vous assurer que le nouveau membre de cluster est ajouté. 7. Ajoutez d’autres membres de cluster en entrant le nom de chaque nouveau membre et en sélectionnant le noeud associé. Une fois l’ajout de tous les membres terminé, cliquez sur Suivant. Une boîte de dialogue récapitulative apparaît ; elle contient une liste de membres de cluster. Consultez le récapitulatif pour vous assurer que les noms de membre de cluster et les noms de serveur sont corrects. 8. Cliquez sur Terminer. 9. Cliquez sur Topologie du cluster, développez l’arborescence du cluster créé, puis examinez ses membres. 10. Si le cluster est correctement indiqué, cliquez sur Clusters, puis sur Sauvegarder pour sauvegarder le nouveau cluster dans le référentiel maître de Network Deployment Manager. Pour plus d’informations sur les référentiels utilisés dans un cluster, consultez les informations fournies par les guides de présentation pour WebSphere Application Server. Pour plus d’informations, voir «Publications relatives aux produits prérequis» à la page x. Remarque : Sélectionnez Synchroniser les modifications avec les noeuds lorsque vous sauvegardez la configuration. 11. Mettez à jour le plug-in du serveur Web. Pour ce faire, cliquez sur Environnement –> Mise à jour du plug-in du serveur Web–> OK.
72
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Feuille de travail relative à l’installation dans une configuration en clusters Avant de lancer l’installation, collectez les informations suivantes :
Informations de base de données Collectez les informations suivantes pour le système de gestion de base de données relationnelle : ID d’administration ______________________________ ID administrateur (NomInstanceDB2 pour le propriétaire d’instance de base de données) que vous avez créé lors de l’installation de la base de données. Par exemple, la valeur par défaut pour IBM DB2 est la suivante : v UNIX : db2inst1 v Windows : db2admin Pour plus d’informations, voir «Configuration d’IBM DB2» à la page 11. Mot de passe d’administration ______________________________ Mot de passe correspondant à l’ID utilisateur de l’administrateur. Nom de base de données ______________________________ Indique comment le serveur Tivoli Identity Manager se connecte à la base de données. Si cette dernière est installée en local, ce paramètre a pour valeur le nom de la base de données. Par exemple, la valeur d’un nom de base de données est itimdb. Si la base de données est installée à distance, le nom de base de données correspond au nom d’alias local de la base de données éloignée. Pour plus d’informations sur l’utilisation de la commande catalog pour indiquer la base de données éloignée, voir «Configuration du pilote JDBC IBM DB2» à la page 15. Type de base de données ______________________________ Type de la base de données utilisée pour votre système. Par exemple, la base de données est IBM DB2. Autorisations d’accès pour la base de données : Utilisateur de la base de données ______enrole__________________ Compte utilisé par le serveur Tivoli Identity Manager pour se connecter à la base de données. L’ID utilisateur est enrole. Remarque : Cet ID utilisateur ne peut pas être modifié. Mot de passe de l’utilisateur ______motdepasse______________ Mot de passe du compte utilisé par le serveur Tivoli Identity Manager pour se connecter à la base de données. Adresse IP ______________________________ Adresse IP du serveur de base de données. Non requise pour IBM DB2. Requise pour Oracle et SQL Server 2000 (SP3). Numéro de port ______________________________ Numéro de port du serveur de base de données. Non requis pour IBM DB2. Requis pour Oracle et SQL Server 2000 (SP3).
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
73
En outre, le processus d’installation signale les informations ci-dessous relatives au pool de base de données. Ces informations déterminent le nombre de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Evaluez les valeurs suivantes en fonction des besoins de votre site : Capacité initiale Nombre initial de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données. Capacité maximale Nombre maximal de connexions JDBC que le serveur Tivoli Identity Manager peut établir avec la base de données à un moment donné. Délai de connexion en secondes Délai, en secondes, entre les connexions.
Informations sur le serveur d’annuaires Rassemblez les informations suivantes : Nom d’hôte ______________________________ Nom d’hôte complet du serveur d’annuaires. Par exemple, identity1.mylab.mydomain.com. Identity Manager - Emplacement du nom distinctif __________________________ La valeur, telle que dc=com, entrée dans la zone Emplacement doit correspondre au suffixe (par exemple, dc=com) que vous avez créé lors de la configuration de LDAP. Pour plus d’informations, voir Chapitre 4, «Configuration du serveur d’annuaires», à la page 27. Nom de votre organisation ______________________________ La valeur entrée dans la zone Nom de votre organisation s’affiche dans l’organigramme qui apparaît sur la plupart des écrans de l’interface utilisateur de Tivoli Identity Manager. Cette valeur correspond généralement au nom plus formel de votre entreprise. Par exemple, IBM Corporation est un nom d’organisation. Remarque : Dans cette zone, vous pouvez entrer des caractères du jeu de caractères mono-octet (ASCII) ou du jeu de caractères à deux octets. Nom abrégé de l’organisation par défaut _____________ La valeur entrée dans la zone Nom abrégé de l’organisation par défaut va être utilisée en interne dans IBM Directory Server pour représenter votre organisation. Cette valeur correspond généralement à une abréviation du nom de votre entreprise. Par exemple, ibmcorp est un nom abrégé. Remarque : Dans la zone Nom abrégé de l’organisation par défaut, entrez uniquement des caractères du jeu de caractères mono-octet (ASCII), par exemple, un identificateur en anglais. Nombre de compartiments de table de hachage ________ Un compartiment de table de hachage sert à répartir des éléments de données à des fins de tri ou de recherche. Evaluez la valeur par défaut (1) en fonction des besoins de votre site.
74
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Port ______________________________ Port d’écoute du serveur d’annuaires, par exemple, 389. Nom distinctif principal ______________________________ ID utilisateur du nom distinctif principal. Par exemple, cn=root. Mot de passe _________________________ Mot de passe de l’ID utilisateur du nom distinctif principal que vous avez créé lors de l’installation du serveur d’annuaires. En outre, le processus d’installation signale les informations ci-dessous relatives au pool de connexions LDAP accessible au serveur Tivoli Identity Manager. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Evaluez les valeurs suivantes en fonction des besoins de votre site : Taille maximale du pool Nombre maximal de connexions que le pool de connexions LDAP peut avoir à un moment donné. Taille initiale du pool Nombre initial de connexions créées pour le pool de connexions LDAP. Comptage incrémentiel Nombre de connexions ajoutées au pool de connexions LDAP chaque fois qu’une connexion est demandée, une fois que toutes les connexions sont en cours d’utilisation.
Informations sur l’installation de WebSphere Application Server dans une configuration en clusters L’installation de WebSphere Application Server dans une configuration en clusters comporte les zones ci-dessous. Pour plus d’informations, voir «Configuration des clusters Tivoli Identity Manager» à la page 120. Nom du cluster ____________________________ Nom du cluster précédemment créé lors de la création de la cellule WebSphere Application Server. Utilisez un seul nom tel que ITIM_CLUSTER pour un cluster unique. Dans un cluster fonctionnel, utilisez des noms tels que ITIM_UI_CLUSTER et ITIM_WF_CLUSTER. Cette zone ne s’affiche pas lors de l’installation dans une configuration à serveur unique. Remarque : Les noms de cluster et les autres identificateurs WebSphere que vous entrez font la distinction entre les majuscules et les minuscules. Répertoire d’installation ______________________________ Répertoire d’installation de WebSphere Application Server base. Par exemple, le répertoire par défaut Solaris est /opt/WebSphere/AppServer. Cette zone est utilisée à titre d’information si WebSphere Application Server base est déjà installé. Niveau de consignation Affiche le niveau prolixe des journaux lors du traçage des erreurs système. Les administrateurs système peuvent sélectionner le niveau de détail du fichier journal en affectant à la zone Niveau de consignation une valeur Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
75
comprise entre INFO et FATAL. Plus le niveau de consignation est grave, meilleures sont les performances du système car une quantité moins importante de données est écrite dans le fichier journal. Nom du serveur de messagerie Les serveurs de messagerie SMTP sont pris en charge. L’hôte SMTP correspond à la passerelle de messagerie. Configuration des paramètres généraux de sécurité Les zones ci-dessous apparaissent dans l’onglet de sécurité de la configuration système. Chiffrement (case à cocher) Permet le chiffrement du mot de passe correspondant à l’ID utilisateur de l’administrateur de base de données, LDAP et WebSphere Application Server dans les fichiers de propriétés Tivoli Identity Manager. Gestion des utilisateurs du serveur d’applications Permet de définir et de confirmer le mot de passe des utilisateurs suivants : Utilisateur système ID et mot de passe de l’utilisateur WebSphere Application Server. Requis uniquement si la sécurité globale WebSphere est activée. Il s’agit de l’ID utilisateur wasadmin décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129. Utilisateur d’EJB Utilisateur et mot de passe à définir avant de lancer l’installation. Requis uniquement si la sécurité globale WebSphere est activée. Il s’agit de l’ID utilisateur itimadmin décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129. Remarque : Si cette zone est préalablement remplie lorsqu’elle s’affiche, il se peut qu’elle contienne la valeur wasadmin. Remplacez cette valeur par itimadmin.
Informations sur Tivoli Identity Manager Prenez connaissance des informations suivantes concernant Tivoli Identity Manager : Clé de chiffrement La clé peut correspondre à un mot ou une phrase. Elle sert à chiffrer les mots de passe Tivoli Identity Manager et tout autre texte confidentiel. La valeur est stockée dans le fichier enRole.properties sous la forme enrole.encryption.password. Niveau de consignation Affiche le niveau prolixe des journaux lors du traçage des erreurs système. Les administrateurs système peuvent sélectionner le niveau de détail du fichier journal en affectant à la zone Niveau de consignation une valeur comprise entre INFO et FATAL. Plus le niveau de consignation est grave, meilleures sont les performances du système car une quantité moins importante de données est écrite dans le fichier journal.
76
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Nom du serveur de messagerie Les serveurs de messagerie SMTP sont pris en charge. L’hôte SMTP correspond à la passerelle de messagerie. ID utilisateur ____gestionnaire itim________ ID utilisateur Tivoli Identity Manager. La valeur par défaut à la suite de l’installation est gestionnaire itim. Employez cet ID utilisateur lorsque vous vous connectez à Tivoli Identity Manager. Mot de passe ____secret______________ Mot de passe correspondant à l’ID utilisateur de l’administrateur Tivoli Identity Manager, désigné par gestionnaire itim. Le mot de passe par défaut utilisé immédiatement à la suite de l’installation est secret. Remarque : Lorsque vous vous connectez au serveur Tivoli Identity Manager, vous êtes obligé de modifier le mot de passe du compte administrateur.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
77
Installation du serveur Tivoli Identity Manager L’organigramme suivant décrit la séquence de base des événements lors de l’installation du serveur Tivoli Identity Manager dans une configuration en clusters :
Figure 23. Organigramme d’installation dans une configuration en clusters
78
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Installez le serveur Tivoli Identity Manager dans une configuration en clusters : Remarque : Pour installer le serveur Tivoli Identity Manager, procurez-vous le CD-ROM approprié pour votre environnement. Pour plus d’informations, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. 1. Sur l’ordinateur doté de Network Deployment Manager. La configuration initiale de la base de données et du serveur d’annuaires de Tivoli Identity Manager a lieu lors de cette installation. 2. Sur chaque ordinateur doté d’un ou plusieurs membres de cluster. Remarque : Assurez-vous que vous avez déjà effectué les étapes décrites dans la section «Avant de commencer» à la page 69. Pour installer le serveur Tivoli Identity Manager, effectuez les opérations suivantes : 1. «Navigation dans les fenêtres de bienvenue et de licence» 2. «Sélection du type d’installation et du répertoire d’installation par défaut» à la page 81 3. «Sélection d’une base de données» à la page 83 4. «Exécution de la séquence d’installation dans une configuration en clusters» à la page 83 5. «Spécification de la sécurité globale de WebSphere» à la page 88 6. «Spécification d’une clé de cryptage et lecture du résumé de la pré-installation» à la page 90 7. «Progression de l’installation et autres activités de configuration» à la page 91 8. «Journaux et répertoires pour l’installation dans une configuration en clusters» à la page 100 9. «Configuration de la sécurité» à la page 100 10. «Test des communications du serveur Tivoli Identity Manager» à la page 102
Navigation dans les fenêtres de bienvenue et de licence Une série de fenêtres de bienvenue et de licence démarre le processus d’installation. Pour naviguer dans les fenêtres initiales, procédez comme suit : 1. Connectez-vous à l’ordinateur sur lequel le serveur Tivoli Identity Manager va être installé. Remarques : a. Vous devez vous connecter à l’aide d’un compte doté de droits d’administration système (root). b. Si la base de données est IBM DB2, assurez-vous que vous avez déjà configuré le profil IBM DB2. 2. Insérez le CD-ROM du produit Tivoli Identity Manager dans l’unité de CD-ROM. 3. Ouvrez une invite de commande et accédez à votre unité de CD-ROM. 4. Exécutez le programme d’installation de Tivoli Identity Manager : v AIX : instAIX-WAS.bin v HP-UX : instHPUX-WAS.bin v Solaris : instSOL-WAS.bin v Linux : instLINUX-WAS.bin Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
79
La fenêtre de bienvenue s’affiche.
Figure 24. Fenêtre de bienvenue
5. Pour modifier la langue utilisée uniquement dans les écrans d’installation, cliquez sur la flèche vers le bas dans la boîte indiquant Anglais, puis sélectionnez une autre langue. Cliquez sur OK. Remarque : Cette option ne permet pas de sélectionner le module de langue avec lequel l’application Tivoli Identity Manager s’exécute ultérieurement. La fenêtre Contrat de licence s’affiche. 6. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, cliquez sur Accepter. Cliquez sur Suivant.
80
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Sélection du type d’installation et du répertoire d’installation par défaut La fenêtre Choisissez le type d’installation s’affiche.
Figure 25. Fenêtre Choisissez le type d’installation
1. Sélectionnez Cluster ou Cluster fonctionnel, puis cliquez sur Suivant. Remarque : La fenêtre qui apparaît ensuite vous permet d’indiquer si le cluster fonctionnel fait partie d’un niveau d’interface utilisateur ou de workflow. Cette fenêtre ne s’affiche pas si le type d’installation sélectionné est Cluster. La fenêtre Informations importantes s’affiche. 2. Avant de continuer, vérifiez que WebSphere Network Deployment Manager et tous les agents des noeuds WebSphere sont opérationnels. Pour plus d’informations, voir «Vérification de l’exécution de Network Deployment Manager et des agents de noeud» à la page 125. Cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 3. Acceptez le répertoire /itim45 par défaut de Tivoli Identity Manager ou indiquez un autre répertoire en cliquant sur Choisir et en complétant les invites associées. Cliquez sur Suivant. Remarques : a. Dans une configuration en clusters, spécifiez un emplacement identique pour le répertoire d’installation de Tivoli Identity Manager sur chacun des ordinateurs du cluster. Avant de procéder à l’installation, vérifiez que l’emplacement sélectionné dispose d’un espace suffisant sur chaque ordinateur. b. Dans un environnement à clusters (un cluster classique ou fonctionnel), le nom du répertoire d’installation doit être identique pour l’ensemble des membres du cluster. Spécifiez un répertoire identique pour éviter par la Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
81
suite les difficultés d’exécution lors de la reconnaissance des certificats ou pendant les activités HR Feed sur différents ordinateurs d’un même cluster. Spécifiez par exemple le répertoire /itim45 sur tous les ordinateurs d’un même cluster. En outre, sur chaque noeud, les fichiers d’alimentation des données DSML et les fichiers de certificat doivent se trouver dans le même répertoire.
82
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Sélection d’une base de données La fenêtre Choisissez le type de base de données s’affiche. Sélectionnez un des types de base de données suivants, puis cliquez sur Suivant : v IBM DB2 Universal Database Si IBM DB2 est la base de données, configurez le profil DB2 en indiquant un répertoire db2InstanceHome valide, avant de lancer le programme d’installation de Tivoli Identity Manager. Pour plus d’informations, voir «Configuration du pilote JDBC IBM DB2» à la page 15. v Oracle. Pour plus d’informations, voir «Installation et configuration d’Oracle pour Tivoli Identity Manager» à la page 18.
Exécution de la séquence d’installation dans une configuration en clusters La fenêtre Choisissez le type de cluster. 1. Sélectionnez un type de noeud. Vous devez installer Tivoli Identity Manager d’abord sur l’ordinateur doté de Network Deployment Manager, puis sur des membres de cluster.
Figure 26. Fenêtre Choisissez le type de cluster
Remarque : Vous pouvez également installer Network Deployment Manager et un membre de cluster sur le même ordinateur. Assurez-vous que l’ordinateur est doté de la mémoire, de la vitesse et de l’espace disponible requis pour la charge supplémentaire. La fenêtre Choisissez l’appartenance du cluster fonctionnel s’affiche.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
83
Remarque : La fenêtre ci-dessous apparaît si vous avez précédemment indiqué cluster fonctionnel pour le type d’installation. La fenêtre ne s’affiche pas si le type d’installation sélectionné est cluster.
Figure 27. Fenêtre Choisissez l’appartenance du cluster fonctionnel
2. Pour un cluster fonctionnel, choisissez si cet ordinateur est un membre de cluster de l’interface utilisateur (UI) ou un membre de cluster du workflow (WF). Cliquez sur Suivant. Remarque : N’affectez pas au même ordinateur un membre de cluster UI et un membre de cluster Workflow. La fenêtre de données qui apparaît vous invite à entrer un ou plusieurs noms de cluster.
84
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
3. Pour un cluster unique (classique), entrez un nom de cluster, tel que itim_cluster.
Figure 28. Fenêtre Données de WebSphere Application Server (nom de cluster)
Autrement, la fenêtre demande plusieurs noms de cluster si le type d’installation est cluster fonctionnel.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
85
Figure 29. Fenêtre Données de WebSphere Application Server (installation dans une configuration en cluster fonctionnel)
4. Entrez le ou les noms de cluster que vous avez précédemment définis à partir de Network Deployment Manager. Cliquez sur Suivant. Si cette installation est destinée à un membre de cluster, la fenêtre Entrer les informations de l’annuaire LDAP apparaît. Remarque : Cette fenêtre ne s’affiche pas si l’installation de Tivoli Identity Manager est indiquée pour Network Deployment Manager.
86
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Figure 30. Fenêtre d’informations de l’annuaire LDAP
5. Dans le formulaire d’informations que vous avez précédemment assemblé, entrez les données relatives à l’organisation dans les zones de la fenêtre d’informations de l’annuaire LDAP. Pour tous les membres de cluster, les informations doivent correspondre à la spécification LDAP qui a précédemment été effectuée lors de l’installation principale de Tivoli Identity Manager sur Network Deployment Manager. Chaque membre de cluster doit posséder les informations identiques. Pour plus d’informations, voir «Informations sur le serveur d’annuaires» à la page 74. Cliquez sur Suivant.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
87
Spécification de la sécurité globale de WebSphere La fenêtre Sécurité WebSphere s’affiche.
Figure 31. Fenêtre Sécurité WebSphere
Si la sécurité globale de WebSphere est activée, cliquez sur Sécurité WebSphere activée.
88
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Dans une autre fenêtre, vous devez indiquer l’ID utilisateur et le mot de passe WebSphere Application Server. Il s’agit de l’ID utilisateur wasadmin décrit dans les étapes manuelles de la section «Sécurité J2EE» à la page 129.
Figure 32. Fenêtre Entrez les autorisations d’accès de l’administrateur WebSphere
Entrez l’ID utilisateur et le mot de passe, puis cliquez sur Suivant.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
89
Spécification d’une clé de cryptage et lecture du résumé de la pré-installation La fenêtre Spécifiez la clé de cryptage s’affiche. Elle est suivie d’une fenêtre récapitulant l’installation.
Figure 33. Fenêtre Spécifiez la clé de cryptage
1. Indiquez une clé de cryptage, qui peut correspondre à un mot ou une phrase. La clé sert à chiffrer les mots de passe Tivoli Identity Manager et tout autre texte confidentiel. La valeur est stockée dans le fichier enRole.properties sous forme de enrole.encryption.password. Cliquez sur Suivant. La fenêtre Résumé de la pré-installation s’affiche. Elle répertorie les composants à installer, l’espace disque disponible requis et le répertoire d’installation, par exemple, /itim45. 2. Avant de continuer, assurez-vous que l’espace disque requis est disponible, puis cliquez sur Installer. Une série de fenêtres de progression s’affichent pendant la durée de l’installation. Sur un ordinateur doté des ressources minimales requises, l’installation peut prendre un temps considérable.
90
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Figure 34. Fenêtre de progression de l’installation
Progression de l’installation et autres activités de configuration Le processus d’installation permet d’installer le serveur Tivoli Identity Manager sur un intervalle de temps. A la suite de l’installation, d’autres fenêtres s’affichent automatiquement : 1. Les fenêtres suivantes apparaissent uniquement lors d’une installation sur l’ordinateur qui est doté de Network Deployment Manager WebSphere : a. Configuration de la base de données. Pour plus d’informations, voir «Configuration initiale de la base de données de Tivoli Identity Manager». b. Serveur d’annuaires. Pour plus d’informations, voir «Configuration initiale de l’annuaire de Tivoli Identity Manager» à la page 93. 2. Lors d’une installation sur l’ordinateur doté de Network Deployment Manager WebSphere ou sur un ordinateur doté d’un membre de cluster, une fenêtre de configuration système s’affiche pour la configuration de Tivoli Identity Manager. Pour plus d’informations, voir «Configuration initiale de Tivoli Identity Manager» à la page 94.
Configuration initiale de la base de données de Tivoli Identity Manager Une fenêtre de configuration de base de données apparaît pour les configurations suivantes : v Serveur unique v Installation en clusters ou en clusters fonctionnels sur l’ordinateur doté de Network Deployment Manager Cette opération de configuration permet de configurer les fichiers de propriétés et les tables de la base de données Tivoli Identity Manager. Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
91
Procédez comme suit : 1. Entrez les valeurs appropriées lorsque la fenêtre Tivoli Identity Manager Configuration de la base de données s’affiche.
Figure 35. Fenêtre Configuration de la base de données
Remarque : Le processus d’installation de Tivoli Identity Manager n’intègre pas le pilote JDBC d’Oracle (fichier classes12.zip). Si vous utilisez Oracle comme base de données, un message java.lang.ClassNotFoundException est généré lors du test de la connexion à la base de données. Pour corriger cela, procédez comme suit : a. Cliquez sur Annuler pour quitter le programme de configuration de la base de données et continuer l’installation. b. Une fois l’installation terminée, procédez comme suit : 1) Copiez le pilote JDBC d’Oracle (fichier classes12.zip) du répertoire local temporaire que vous avez créé précédemment dans le répertoire ITIM_HOME/lib de l’ordinateur sur lequel vous installez IBM Tivoli Identity Manager. Pour plus d’informations sur la manière d’obtenir une copie du pilote JDBC d’Oracle (fichier classes12.zip), voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. Pour plus d’informations sur le répertoire temporaire, reportez-vous à la liste précédente relative aux tâches à effectuer avant l’installation de Tivoli Identity Manager. 2) Affichez la fenêtre de configuration de la base de données à l’aide de la commande suivante : ITIM_HOME/bin/DBConfig
3) Configurez la base de données. 4) Arrêtez tous les serveurs du cluster. 5) Démarrez tous les serveurs du cluster.
92
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
2. Complétez les zones de configuration de la base de données utilisée par Tivoli Identity Manager. S’il s’agit de la base de données IBM DB2, les zones Adresse IP et Numéro de port sont grisées. Ces zones sont obligatoires pour les autres bases de données. Par exemple, la valeur entrée dans la zone Nom ou alias de base de données est similaire à itimdb. La valeur entrée dans la zone ID d’administration correspond à une des suivantes : v UNIX : db2inst1 v Windows : db2admin Pour plus d’informations, voir «Configuration du serveur IBM DB2» à la page 12. 3. Cliquez sur Tester. Une fois que le test de la base de données a abouti, les zones ID utilisateur et Mot de passe utilisateur de la fenêtre Configuration de la base de données sont activées. 4. Complétez les zones à l’aide des valeurs appropriées, puis cliquez sur Continuer.
Configuration initiale de l’annuaire de Tivoli Identity Manager Une fenêtre de configuration de serveur d’annuaires apparaît pour les configurations suivantes : v Serveur unique v Installation en clusters ou en clusters fonctionnels sur l’ordinateur doté de Network Deployment Manager Entrez les valeurs appropriées pour configurer le serveur d’annuaires de sorte qu’il reconnaisse Tivoli Identity Manager. Procédez comme suit : 1. Complétez les zones Informations sur le serveur LDAP. Par exemple, la valeur de la zone Nom d’hôte correspond au nom d’hôte complet de l’ordinateur sur lequel le serveur d’annuaires est en cours d’exécution.
Figure 36. Fenêtre Configuration de l’annuaire
2. Cliquez sur Tester. Une fois que le test d’une connexion au serveur d’annuaires a abouti, les zones de la section Identity Manager - Informations sur l’annuaire sont activées. Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
93
3.
La valeur entrée dans la zone Identity Manager - Emplacement du nom distinctif est dc=mon_suffixe, ce qui indique le suffixe de Tivoli Identity Manager. Pour plus d’informations, voir «Définition du suffixe de Tivoli Identity Manager» à la page 28. Complétez les zones à l’aide de valeurs appropriées, puis cliquez sur Continuer.
Configuration initiale de Tivoli Identity Manager Pour tous les types d’installation, utilisez les onglets de la fenêtre Configuration système fournis par le serveur Tivoli Identity Manager pour modifier les valeurs du serveur de base de données, du serveur d’annuaires et des autres services : 1. L’onglet Général est le premier d’une série d’onglets de configuration système permettant de configurer le serveur Tivoli Identity Manager.
Figure 37. Fenêtre de l’onglet Général
Les valeurs des zones de la page Général sont remplies au préalable. Pour plus de détails sur ces zones, consultez les informations de configuration système dans le document IBM Tivoli Identity Manager Configuration Guide. 2. Cliquez sur l’onglet Répertoire. La fenêtre de l’onglet Répertoire s’affiche.
94
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Figure 38. fenêtre de l’onglet Répertoire
Si nécessaire, modifiez les informations relatives au serveur d’annuaires. Si cette installation s’effectue sur un membre de cluster, les informations doivent correspondre à la spécification LDAP qui a précédemment été effectuée pour Network Deployment Manager. Si cette installation s’effectue sur un membre de cluster, un bouton Tester s’affiche. Cliquez sur Tester. Une fenêtre indiquant que la réponse à la connexion a abouti doit apparaître. Cliquez sur OK pour fermer la fenêtre. 3. Cliquez sur l’onglet Base de données.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
95
La fenêtre de l’onglet Base de données s’affiche.
Figure 39. Fenêtre de l’onglet Base de données
4. Indiquez le nom de la base de données Tivoli Identity Manager. Par exemple, la valeur d’un nom de base de données peut être itimdb. L’ID utilisateur par défaut est enrole. Si cette installation s’effectue sur un membre de cluster, les informations doivent correspondre à la spécification de base de données qui a précédemment été effectuée pour Network Deployment Manager. Si cette installation s’effectue sur un membre de cluster, un bouton Tester s’affiche. Cliquez sur Tester. Lorsque le test a abouti, les autres zones de la section Informations sur le pool de base de données sont activées. Cliquez sur OK pour fermer la fenêtre. 5. Cliquez sur Consignation. La fenêtre de l’onglet Consignation s’affiche. Acceptez la valeur par défaut de WARN ou remplacez les valeurs par un niveau plus ou moins prolixe, en fonction des facteurs de performances du site.
96
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Figure 40. Fenêtre de l’onglet Consignation
6. Cliquez sur l’onglet Courrier. La fenêtre correspondant à l’onglet Courrier s’affiche.
Figure 41. Fenêtre de l’onglet Courrier
7. Entrez les valeurs requises dans l’onglet Courrier, puis cliquez sur OK. Pour plus de détails sur ces zones, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
97
Remarques : a. La valeur de la zone URL du serveur Identity Manager correspond à l’URL du serveur proxy (par exemple, l’IBM HTTP Server qui permet de connecter Tivoli Identity Manager). b. Remplacez l’adresse indiquée dans la zone Courrier de par l’adresse électronique de l’administrateur système Tivoli Identity Manager de votre site. Vous devez modifier cette adresse, sinon vous enverrez un spam à l’adresse électronique affichée. 8. Cliquez sur Interface utilisateur. La fenêtre de l’onglet Interface utilisateur s’affiche.
Figure 42. Fenêtre de l’onglet Interface utilisateur
98
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
9. Acceptez les valeurs de l’onglet Interface utilisateur ou modifiez les informations de logo et d’adresse pour définir l’adresse Web et l’écran d’accueil personnalisé de votre organisation. La zone Taille de page de liste indique le nombre d’éléments à afficher sur les listes de l’interface utilisateur. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide. Cliquez sur OK. 10. Cliquez sur Sécurité. La fenêtre correspondant à l’onglet Sécurité s’affiche.
Figure 43. Fenêtre de l’onglet Sécurité
Si vous avez précédemment sélectionné la sécurité WebSphere Application Server, ces zones sont déjà remplies. Les zones sont à blanc si vous n’avez pas activé la sécurité WebSphere Application Server. Remarques : a. Les valeurs initiales des zones Utilisateur d’EJB et Mot de passe de l’utilisateur d’EJB correspondent aux valeurs des zones Utilisateur système et Mot de passe de l’utilisateur système. Il est peut-être nécessaire de modifier les zones Utilisateur d’EJB et Mot de passe de l’utilisateur d’EJB. La longueur de l’ID utilisateur d’EJB doit être inférieure à 12 caractères. b. Si vous modifiez la valeur de l’ID utilisateur d’EJB ou du mot de passe d’EJB dans cette fenêtre Sécurité de la configuration système, vous devez effectuer la procédure manuelle après l’installation de Tivoli Identity Manager pour mapper le rôle de sécurité vers l’utilisateur ITIM afin de démarrer Tivoli Identity Manager. 11. Cliquez sur OK pour terminer la configuration du système. 12. En outre, assurez-vous que les autres valeurs sont appropriées pour l’exécution de la configuration utilisée par Tivoli Identity Manager et les applications associées.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
99
Journaux et répertoires pour l’installation dans une configuration en clusters Une fois la configuration du système terminée, notez les emplacements des journaux d’installation suivants : Tableau 5. Répertoires et noms de fichiers journaux d’installation Noms de fichier
Répertoire
dbConfig.stdout ldapConfig.stdout itim45_installer_debug.txt runConfig.stdout (cluster) runConfigTmp.stdout (serveur unique et Network Deployment Manager)
ITIM_HOME/journaux_installation
itim45_install.stdout itim45_install.stderr
répertoire racine du système
Tivoli_Identity_Manager_InstallLog.log
Si l’installation aboutit, le répertoire est ITIM_HOME. Si l’installation échoue, le fichier journal se trouve dans le répertoire racine du système (UNIX).
Pour plus d’informations sur les journaux créés par l’installation de WebSphere Application Server consultez la documentation WebSphere Application Server.
Configuration de la sécurité Pour activer la Sécurité J2EE, effectuez les étapes manuelles permettant le mappage, puis redémarrez la Sécurité J2EE après l’installation de Tivoli Identity Manager. Pour plus d’informations, reportez-vous à l’une des sections suivantes : v «Procédure manuelle pour les déploiements à noeud unique après l’installation de Tivoli Identity Manager» à la page 130 v «Procédure manuelle pour un déploiement à plusieurs noeuds après l’installation de Tivoli Identity Manager» à la page 134 v Assurez-vous que le fichier was.policy existe. Pour plus d’informations, voir «Configuration du fichier was.policy» à la page 135.
Utilisation de runConfig après l’installation de Tivoli Identity Manager Utilisez la commande runConfig après l’installation de Tivoli Identity Manager pour effectuer la configuration système des activités telles que les suivantes : v Modification du mot de passe de l’utilisateur enrole. v Spécification du chiffrement de mot de passe et mise à jour des ID et mots de passe de l’utilisateur d’EJB Tivoli Identity Manager. Pour plus d’informations, reportez-vous aux descriptions des onglets de la fenêtre Configuration système dans la section «Configuration initiale de Tivoli Identity Manager» à la page 94. Pour plus d’informations sur l’utilisation de la commande runConfig, consultez le document IBM Tivoli Identity Manager Configuration Guide.
100
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Installation facultative d’un module de langue Après avoir installé Tivoli Identity Manager, si l’anglais n’est pas la langue par défaut, vous avez la possibilité de vous procurer et de monter le CD-ROM des modules de langue du serveur Tivoli Identity Manager. Pour installer le module de langue, utilisez le mode ligne de commande. Par exemple, entrez : java –jar itimlp_setup.jar
Le programme d’installation du module de langue Tivoli Identity Manager démarre. Pour installer un module de langue, suivez les instructions apparaissant dans les écrans du programme d’installation. Remarque : Pour lancer le programme d’installation du module de langue Tivoli Identity Manager, vous devez pouvoir accéder à l’environnement d’exécution Java 1.3.1 à partir de la ligne de commande.
Définition éventuelle de la persistance de session HTTP Le cas échéant, définissez la persistance de session HTTP pour WebSphere Application Server. Pour plus d’informations, consultez la documentation sur la gestion des sessions HTTP dans le centre d’aide et d’information WebSphere. Remarque : Si un serveur WebSphere Application Server échoue ultérieurement dans un cluster Tivoli Identity Manager, la persistance de session rend l’incident transparent pour l’utilisateur final.
Vérification des paramètres du service de transactions Vérifiez que les paramètres du service de transactions WebSphere Application Server sont suffisamment élevés pour gérer les charges Tivoli Identity Manager pour vos processus ITIM. Pour plus de détails sur la modification de ces paramètres, voir «Configuration des paramètres du service de transactions WebSphere Application Server» à la page 126. Si vous ne modifiez pas les paramètres en fonction des charges de vos processus métier, les requêtes peuvent arriver à expiration avant d’être exécutées.
Mise à jour du plug-in du serveur Web Une fois l’installation terminée, mettez à jour le plug-in du serveur Web. Pour ce faire, accédez à la console d’administration WebSphere Application Server et cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK.
Démarrage des clusters Une fois l’installation terminée et toutes les modifications de sécurité requises effectuées, redémarrez les clusters. Sur la console d’administration WebSphere, procédez comme suit : 1. Cliquez sur Serveurs –> Clusters. 2. Sélectionnez le cluster Tivoli Identity Manager. 3. Cliquez sur Démarrer. Tivoli Identity Manager doit démarrer lors du lancement du cluster. Le cas échéant, démarrez un membre du cluster en exécutant la commande suivante sur un ordinateur du cluster : ITIM_DIR/bin/unix/ssCluster start
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
101
Remarques : 1. L’exécution de cette commande sur l’ordinateur doté de Network Deployment Manager permet de démarrer la totalité du cluster. 2. Cette commande lance également les serveurs JMS. Le cas échéant, arrêtez un membre du cluster en exécutant la commande suivante sur un ordinateur du cluster : ITIM_DIR/bin/unix/ssCluster stop
Remarque : L’exécution de cette commande sur l’ordinateur doté de Network Deployment Manager permet d’arrêter la totalité du cluster.
Test des communications du serveur Tivoli Identity Manager Pour vérifier si la base de données, le serveur d’annuaires et le serveur Tivoli Identity Manager sont correctement configurés et qu’ils communiquent les uns avec les autres, procédez comme suit : 1. Testez le pilote JDBC pour vous assurer qu’il s’exécute sur un membre de cluster spécifique : a. Avant de commencer, vérifiez que le serveur de base de données et WebSphere Application Server sont en cours d’exécution. Pour plus d’informations sur le démarrage de WebSphere Application Server, consultez la documentation fournie par WebSphere Application Server. b. Vérifiez que vous avez configuré le profil IBM DB2 correctement. Si vous utilisez IBM DB2 version 7.1 ou 7.2 avec les kits de mise à jour requis par ce produit, vérifiez que vous avez exécuté le script shell usejdbc2 dans le shell, avant de démarrer WebSphere Application Server. Testez de nouveau la connexion. Si celle-ci ne fonctionne pas, vérifiez que l’ID utilisateur enrole et le mot de passe sont correctement configurés. Si le serveur IBM DB2 est éloigné, assurez-vous que le même niveau de kit de mise à jour IBM DB2 est appliqué au serveur de base de données et au client. Remarque : Le Fix Pack 3 permet la migration de l’environnement IBM DB2 version 7.1 vers le niveau de disponibilité générale IBM DB2 version 7.2. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. c. Accédez à la console d’administration WebSphere Application Server. d. Cliquez sur Ressources –> Fournisseurs JDBC. Sélectionnez le noeud cible. e. Cliquez sur Parcourir les serveurs. Sélectionnez un serveur cible, puis cliquez sur Valider. f. Faites défiler la fenêtre jusqu’à la liste des fournisseurs JDBC et cliquez deux fois sur Fournisseur JDBC ITIM. g. Faites défiler la boîte de dialogue qui apparaît jusqu’à la sous-fenêtre Propriétés supplémentaires. Dans cette sous-fenêtre, cliquez sur Sources de données. h. Dans la boîte de dialogue Sources de données qui s’affiche, cliquez sur Tester la connexion. Un message indiquant le résultat du test apparaît. 2. Démarrez le serveur Tivoli Identity Manager et toutes les applications prérequises. Accédez à la console d’administration WebSphere Application Server et cliquez sur Serveurs –> Clusters. Sélectionnez le cluster, puis cliquez sur Démarrer.
102
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
3. Connectez-vous à Tivoli Identity Manager. Par exemple, dans une fenêtre de navigation, entrez : http://nom_hôte/enrole
où nom_hôte désigne le nom complet ou l’adresse IP de l’ordinateur sur lequel le serveur Tivoli Identity Manager est en cours d’exécution. Remarques : a. Ne lancez pas deux sessions de navigateur distinctes à partir du même poste client. Les deux sessions sont considérées comme étant un seul ID session, ce qui donne lieu à des incidents au niveau des données. b. Si vous vous connectez à l’aide de la fonction de connexion unique et que vous avez besoin de sélectionner une langue, ajoutez /language à l’adresse du site Web. Par exemple, entrez : https://monsite.masociete.com/itim/enrole/language
Pour plus d’informations sur la configuration des paramètres de langue par défaut de votre navigateur Web, consultez le document IBM Tivoli Identity Manager Configuration Guide. 4. Entrez l’ID utilisateur (gestionnaire itim) et le mot de passe (immédiatement après l’installation, la valeur est ″secret″) de l’administrateur Tivoli Identity Manager. 5. Prenez les mesures nécessaires pour la création d’un utilisateur (utilisateur ITIM). Pour plus de détails, consultez l’aide en ligne ou le document IBM Tivoli Identity Manager Policy and Organization Administration Guide. Pour plus d’informations sur les processus qui doivent être en cours d’exécution, consultez le document IBM Tivoli Identity Manager Configuration Guide.
Communications serveur-agent L’utilisation du système Tivoli Identity Manager avec un agent Tivoli Identity Manager requiert des certificats de production garantissant des communications sécurisées entre le serveur Tivoli Identity Manager et l’agent. L’autorité de certification correspondant au certificat de l’agent Tivoli Identity Manager doit se trouver dans le répertoire ITIM_HOME/cert. Pour connaître les types de certificats pris en charge, consultez le document IBM Tivoli Identity Manager Configuration Guide. Pour plus d’informations, reportez-vous au guide d’installation d’un agent spécifique. Remarques : 1. Installez un seul profil d’agent à la fois, puis terminez l’installation du profil avant d’installer un autre profil d’agent. L’installation simultanée de plusieurs profils risque d’entraîner le redémarrage forcé du serveur Tivoli Identity Manager. 2. Lorsque chaque profil d’agent est installé sur l’ordinateur contenant WebSphere Application Server Network Deployment, le fichier suivant est mis à jour : ITIM_HOME/data/CustomLabels.properties
Ce fichier de propriétés contient les conversions des paramètres qui apparaissent dans l’interface graphique de ITIM pour les comptes du type de profil donné. Pour chaque profil d’agent installé sur l’ordinateur qui contient WebSphere Application Server Network Deployment, vous devez également mettre à jour le fichier CustomLabels.properties pour qu’il soit identique sur chacun des membres du cluster de l’interface graphique (ou sur tous les membres du Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
103
cluster si les clusters fonctionnels ne sont pas utilisés). Il est recommandé de récupérer sur chacun des membres du cluster le fichier CustomLabels.properties de l’ordinateur contenant WebSphere Application Server Network Deployment à l’aide de la commande FTP. 3. Dans une configuration en clusters, installez le profil d’agent une seule fois. Pour savoir où installer le profil d’agent dans une configuration en clusters, consultez le guide d’installation de l’agent en question. 4. La configuration de WebSphere Application Server exige que l’unité contenant un certificat d’un agent soit identique à celle sur laquelle le serveur Tivoli Identity Manager est installé. Par exemple, si un profil d’agent est installé sur un membre de cluster sur lequel le serveur Tivoli Identity Manager est installé dans le répertoire / ITIM_HOME, le certificat doit se trouver dans le répertoire ITIM_HOME/cert. La configuration de WebSphere Application Server doit également spécifier le répertoire ITIM_HOME/cert. 5. Si la langue par défaut n’est pas l’anglais, vous avez la possibilité, avant d’installer le premier agent Tivoli Identity Manager, de vous procurer et de monter le CD-ROM du module de langue des agents Tivoli Identity Manager. Pour installer le module de langue des agents sur le serveur Tivoli Identity Manager, utilisez le mode ligne de commande : java –jar itimlp_agents_setup.jar
Le programme d’installation du module de langue Tivoli Identity Manager démarre. Pour installer un module de langue, suivez les instructions apparaissant dans les écrans du programme d’installation. Remarque : Pour lancer le programme d’installation du module de langue Tivoli Identity Manager, vous devez pouvoir accéder à l’environnement d’exécution Java 1.3.1 à partir de la ligne de commande.
Ajout ou suppression de membres de cluster La présente section décrit l’ajout ou la suppression de membres de cluster.
Extension d’un cluster à l’aide d’un nouvel ordinateur Pour ajouter un nouveau membre à un cluster Tivoli Identity Manager existant, procédez comme suit : Remarque : Ces étapes permettent l’extension d’un cluster à l’aide d’un ordinateur qui ne figure pas déjà dans la cellule WebSphere. Il s’agit d’un exemple de regroupement horizontal de clusters. 1. Sur la console d’administration WebSphere Application Server, créez le membre. Pour plus d’informations, voir «Ajout de noeuds dans une cellule» à la page 124. 2. Sur la console d’administration WebSphere Application Server, ajoutez un nouveau membre de cluster sur le noeud. Pour plus d’informations, voir «Création d’un cluster» à la page 125. 3. Exécutez le processus d’installation Tivoli Identity Manager sur le nouvel ordinateur, en choisissant l’installation d’un membre de cluster. 4. Mettez à jour le plug-in du serveur Web. Pour ce faire, accédez à la console d’administration WebSphere Application Server et cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK. 5. Sur la console d’administration WebSphere Application Server, démarrez le nouveau membre du cluster.
104
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Extension d’un cluster à l’aide du même ordinateur Vous pouvez également étendre un cluster en ajoutant un autre membre de cluster sur un ordinateur doté d’un membre de cluster existant. Procédez comme suit : 1. Sur la console d’administration WebSphere Application Server, créez le membre de cluster sur l’ordinateur qui est doté d’un membre de cluster déjà existant. Remarque : Il s’agit d’un exemple de regroupement vertical de clusters. 2. Mettez à jour le plug-in du serveur Web. Pour ce faire, accédez à la console d’administration WebSphere Application Server et cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK. 3. Sur la console d’administration WebSphere Application Server, démarrez le nouveau membre du cluster.
Suppression d’un membre du cluster Pour supprimer le seul membre de cluster d’un ordinateur, procédez comme suit : v Si un seul membre de cluster réside sur l’ordinateur : 1. Lancez le programme de désinstallation de Tivoli Identity Manager. Pour plus d’informations, voir Annexe G, «Désinstallation de Tivoli Identity Manager», à la page 161. 2. Sur la console d’administration WebSphere Application Server, supprimez le membre du cluster. 3. Mettez à jour le plug-in du serveur Web. Pour ce faire, accédez à la console d’administration WebSphere Application Server et cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK. v Si l’ordinateur contient plusieurs clusters (un cluster vertical) : 1. Sur la console d’administration WebSphere Application Server, supprimez le membre du cluster. 2. Mettez à jour le plug-in du serveur Web. Pour ce faire, accédez à la console d’administration WebSphere Application Server et cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK.
Chapitre 6. Installation dans une configuration en clusters : serveur Tivoli Identity Manager
105
106
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe A. Images d’installation sous forme de CD-ROM et de kits de mise à jour Tivoli Identity Manager est disponible de la manière suivante : v Kits de mise à jour pour les plateformes et applications prérequises prises en charge par Tivoli Identity Manager version 4.5.0. Pour plus d’informations sur l’obtention de ces kits de mise à jour, voir «Obtention des kits de mise à jour de la version 4.5.1». v CD-ROM pour les nouvelles plateformes prises en charge par Tivoli Identity Manager version 4.5.1. Pour connaître le contenu détaillé du CD-ROM, reportez-vous au fichier ITIM-4.5.1-CD-IMAGES.txt fourni avec les images du CD-ROM. v CD contenant la version précédente (Tivoli Identity Manager version 4.5.0) et les applications prérequises. Pour plus d’informations sur l’intégralité des plateformes prises en charge et leurs applications prérequises, voir IBM Tivoli Identity Manager Release Notes.
Correctif provisoire WebSphere recommandé PQ77521 ne figurant pas sur les CD-ROM ou sur l’image d’installation de la version 4.5.1 Le correctif provisoire recommandé PQ77521 n’est pas fourni sur les CD-ROM du produit ou sur l’image d’installation de Tivoli Identity Manager 4.5.1. Le correctif provisoire de messagerie cumulé pour WebSphere Application Server 5.0.2 est recommandé pour corriger l’erreur de reprise sur incident MQJMS2013 XA à l’aide du support de messagerie intégrée WebSphere. Les premières lignes du message d’erreur sont similaires aux suivantes : [8/6/03 13:30:54:484 EDT] f341ce J2CXAResource W J2CA0061W : Erreur lors de la création de la connexion et de la ressource javax.resource.spi.ResourceAdapterInternalException: createQueueConnection failed at com.ibm.ejs.jms.JMSCMUtils.mapToResourceException(JMSCMUtils.java:123)
Par exemple, cette erreur peut se produire lorsqu’un workflow est actif et que WebSphere Application Server s’arrête. Les transactions incomplètes ne peuvent pas être récupérées. Si le correctif provisoire est appliqué, les données sont récupérées. Pour vous procurer ce correctif provisoire, accédez au site Web suivant : http://www.ibm.com/support/docview.wss?uid=swg24005451
Obtention des kits de mise à jour de la version 4.5.1 Procurez-vous les kits de mise à jour de Tivoli Identity Manager version 4.5.1 pour les plateformes prises en charge par Tivoli Identity Manager version 4.5.0, sur le site Web suivant : http://www-1.ibm.com/support/dlsearch.wss?rs=644 &q;=&tc;=SSTFWV&dc;=D420&loc;=en_US&cs;=utf-8〈=en&sort;=desc&rankfile;=8&p;=1
© Copyright IBM Corp. 2004
107
Vous trouverez ci-après un exemple de nom de fichier de kit de mise à jour : 4.5.1-TIM-plateforme-WAS-0001.zip,
où plateforme désigne une valeur telle qu’AIX. Procédez comme suit : 1. Accédez au site du support logiciel IBM en ligne. a. Enregistrez-vous et créez votre ID IBM en ligne sur le site Web suivant : http://www.ibm.com/software/support/
b. Cliquez sur help pour plus d’informations sur la manière de compléter la section des utilisateurs de la boîte de dialogue Update Maintenance Agreements. c. Entrez votre numéro de client (attribué par un contrat de maintenance logiciel IBM Passport Advantage) dans la zone des contrats de maintenance de la page d’enregistrement IBM en ligne.
CD-ROM de la version 4.5.0 Le serveur Tivoli Identity Manager version 4.5.0 fournit les CD-ROM ci-après. Si vous ne possédez pas tous les CD-ROM répertoriés, prenez contact avec le service d’assistance IBM.
CD-ROM des modules de langue Le tableau ci-dessous détaille le contenu du CD-ROM des modules de langue. Tableau 6. Contenu du CD-ROM des modules de langue Produit
Nom de fichier
Modules de langue
itimlp_setup.jar, itimlp_agents_setup.jar
CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Solaris Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Solaris : Tableau 7. Contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Solaris
108
Produit
Nom de fichier
Tivoli Identity Manager version 4.5 for WebSphere Application Server
instSOL-WAS.bin
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous Solaris Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM (WebLogic) sous Solaris : Tableau 8. Contenu du CD du code de base Tivoli Identity Manager pour WebLogic sous Solaris Produit
Nom de fichier
Tivoli Identity Manager version 4.5 for WebLogic
instSOL-WL.bin
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
CD-ROM Solaris supplémentaire 1 Le tableau suivant détaille le contenu du CD-ROM Solaris supplémentaire 1 : Tableau 9. Contenu du CD-ROM Solaris supplémentaire 1 Produit
Nom de fichier
WebSphere Application Server base version 5.0 Fix Pack 2
was50_fp2_solaris.zip
WebSphere Application Server Network Deployment version 5.0 Fix Pack 2
was50_nd_fp2_solaris.zip
Correctif provisoire WebSphere Application Server base version 5.0.2 (APAR PQ75794)
PQ75794.zip
Correctif provisoire WebSphere Application Server base et WebSphere Application Server Network Deployment version 5.0.2 (APAR SOV62778)
ibmorb.jar
Correctif provisoire WebSphere Application Server JSP Compile (APAR PQ77263)
PQ77263.zip
CD-ROM Solaris supplémentaire 2 Le tableau suivant détaille le contenu du CD-ROM Solaris supplémentaire 2 : Tableau 10. Contenu du CD-ROM Solaris supplémentaire 2 Produit
Nom de fichier
IBM Directory Server version 5.1
ids510-solaris-ismp-us.tar
IBM Directory Server version 5.1 Fix Pack 1
FP510S-01.tar.Z
Plug-in d’intégrité référentielle IBM Directory DelRef/aix/libdelref.a Server DelRef/hpux/libdelref.sl DelRef/nt/libdelref.dll DelRef/sun/libdelref.so Fichier de configuration Tivoli Identity Manager version 4.5
DelRef/timdelref.conf
Annexe A. Images d’installation sous forme de CD-ROM et de kits de mise à jour
109
CD-ROM Solaris supplémentaire 3 Le tableau suivant détaille le contenu du CD-ROM Solaris supplémentaire 3 : Tableau 11. Contenu du CD-ROM Solaris supplémentaire 3 Produit
Nom de fichier
IBM DB2 version 8.1 Fix Pack 2 (32 et 64 bits) Sol-FP2_U486567.tar.Z
CD-ROM Solaris supplémentaire 4 Le tableau suivant détaille le contenu du CD-ROM Solaris supplémentaire 4 : Tableau 12. Contenu du CD-ROM Solaris supplémentaire 4 Produit
Nom de fichier
Pilote JDBC Oracle type 4
classes12.zip
Fichier de licence du pilote JDBC Oracle type LI_en 4
CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous AIX Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous AIX : Tableau 13. Contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous AIX Produit
Nom de fichier
Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server
instAIX-WAS.bin
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous AIX Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM (WebLogic) sous AIX : Tableau 14. Contenu du CD du code de base Tivoli Identity Manager pour WebLogic sous AIX
110
Produit
Nom de fichier
Tivoli Identity Manager version 4.5 for WebLogic
instAIX-WL.bin
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
CD-ROM AIX supplémentaire 1 Remarque : En raison des contraintes de taille, le Fix Pack 2 pour IBM DB2 sous AIX n’est pas fourni sur un CD-ROM supplémentaire. Pour vous procurer le Fix Pack 2 pour IBM DB2 sous AIX, accédez au site FTP suivant : ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/db2aix5v8/fixpak/FP2_U486566/
ou accédez au site Web suivant : http://www-3.ibm.com/cgi-bin/db2www/data/db2/udb/winos2unix/support/v8fphist.d2w/report#AIX5
Le tableau suivant détaille le contenu du CD-ROM AIX supplémentaire 1 : Tableau 15. Contenu du CD-ROM AIX supplémentaire 1 Produit
Nom de fichier
WebSphere Application Server base version 5.0 Fix Pack 2
was50_fp2_aix.zip
WebSphere Application Server Network Deployment version 5.0 Fix Pack 2
was50_nd_fp2_aix.zip
Correctif provisoire WebSphere Application Server base version 5.0.2 (APAR PQ75794)
PQ75794.zip
Correctif provisoire WebSphere Application Server base et WebSphere Application Server Network Deployment version 5.0.2 (APAR SOV62778)
ibmorb.jar
Correctif provisoire WebSphere Application Server JSP Compile (APAR PQ77263)
PQ77263.zip
CD-ROM AIX supplémentaire 2 Le tableau suivant détaille le contenu du CD-ROM AIX supplémentaire 2 : Tableau 16. Contenu du CD-ROM AIX supplémentaire 2 Produit
Nom de fichier
IBM Directory Server version 5.1
ids510-aix-ismp-us.tar
IBM Directory Server version 5.1 Fix Pack 1
FP510A-01.tar
Plug-in d’intégrité référentielle IBM Directory DelRef/aix/libdelref.a Server DelRef/hpux/libdelref.sl DelRef/nt/libdelref.dll DelRef/sun/libdelref.so Fichier de configuration Tivoli Identity Manager version 4.5
DelRef/timdelref.conf
CD-ROM AIX supplémentaire 3 Le tableau suivant détaille le contenu du CD-ROM AIX supplémentaire 3 : Tableau 17. Contenu du CD-ROM AIX supplémentaire 3 Produit
Nom de fichier
Pilote JDBC Oracle type 4
classes12.zip
Fichier de licence du pilote JDBC Oracle type LI_en 4
Annexe A. Images d’installation sous forme de CD-ROM et de kits de mise à jour
111
CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous HP-UX Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM (WebLogic) sous HP-UX : Tableau 18. Contenu du CD du code de base Tivoli Identity Manager pour WebLogic sous HP-UX Produit
Nom de fichier
Tivoli Identity Manager version 4.5 à l’aide de WebLogic
instHPUX-WL.bin
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Windows 2000 Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Windows 2000 : Tableau 19. Contenu du CD du code de base Tivoli Identity Manager pour WebSphere Application Server sous Windows 2000 Produit
Nom de fichier
Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server
instW2K-WAS.exe
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM sous Windows 2000 Le tableau suivant détaille le contenu du CD du code de base Tivoli Identity Manager pour les serveurs d’applications non IBM (WebLogic) sous Windows 2000 : Tableau 20. Contenu du CD du code de base Tivoli Identity Manager pour WebLogic sous Windows 2000
112
Produit
Nom de fichier
Tivoli Identity Manager version 4.5 for WebLogic
instW2K-WL.exe
Documentation ReadMeFirst
Docs-ReadMeFirst.pdf
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
CD-ROM Windows 2000 supplémentaire 1 Le tableau suivant détaille le contenu du CD-ROM Windows 2000 supplémentaire 1 : Tableau 21. Contenu du CD-ROM Windows 2000 supplémentaire 1 Produit
Nom de fichier
WebSphere Application Server base version 5.0 Fix Pack 2
was50_fp2_win.zip
WebSphere Application Server Network Deployment version 5.0 Fix Pack 2
was50_nd_fp2_win.zip
Correctif provisoire WebSphere Application Server base version 5.0.2 (APAR PQ75794)
PQ75794.zip
Correctif provisoire WebSphere Application Server base et WebSphere Application Server Network Deployment version 5.0.2 (APAR SOV62778)
ibmorb.jar
Correctif provisoire WebSphere Application Server JSP Compile (APAR PQ77263)
PQ77263.zip
CD-ROM Windows 2000 supplémentaire 2 Le tableau suivant détaille le contenu du CD-ROM Windows 2000 supplémentaire 2 : Tableau 22. Contenu du CD-ROM Windows 2000 supplémentaire 2 Produit
Nom de fichier
IBM Directory Server version 5.1
ids510-windows-us.zip
IBM Directory Server version 5.1 Fix Pack 1
FP510W-01.zip
Plug-in d’intégrité référentielle IBM Directory DelRef\aix\libdelref.a Server DelRef\hpux\libdelref.sl DelRef\nt\libdelref.dll DelRef\sun\libdelref.so Fichier de configuration Tivoli Identity Manager version 4.5
DelRef\timdelref.conf
CD-ROM Windows 2000 supplémentaire 3 Le tableau suivant détaille le contenu du CD-ROM Windows 2000 supplémentaire 3 : Tableau 23. Contenu du CD-ROM Windows 2000 supplémentaire 3 Produit
Nom de fichier
IBM DB2 version 8.1 Fix Pack 2
W2K-FP2.zip
Annexe A. Images d’installation sous forme de CD-ROM et de kits de mise à jour
113
CD-ROM Windows 2000 supplémentaire 4 Le tableau suivant détaille le contenu du CD-ROM Windows 2000 supplémentaire 4 : Tableau 24. Contenu du CD-ROM Windows 2000 supplémentaire 4 Produit
Nom de fichier
Pilote JDBC Oracle type 4
classes12.zip
Fichier de licence du pilote JDBC Oracle type LI_en 4
114
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe B. Préparation de l’environnement WebSphere Le présent chapitre décrit les étapes génériques permettant de créer un environnement WebSphere Application Server avant l’installation du serveur Tivoli Identity Manager dans des configurations à serveur unique ou en clusters. Pour les configurations en clusters, ce chapitre décrit la procédure d’installation et de configuration de WebSphere Application Server Network Deployment et de WebSphere Application Server base. Remarque : Pour plus d’informations, consultez la documentation d’installation de WebSphere Application Server.
Préparation de l’installation de WebSphere Application Server Avant d’installer WebSphere Application Server, veillez à disposer de l’espace disque disponible suffisant pour la décompression des fichiers. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes.
Vérification de la spécification de l’utilisateur et des groupes de support de messagerie Pour vous assurer que l’utilisateur et les groupes de support de messagerie intégrée WebSphere sont correctement définis, suivez les étapes ci-dessous.
Sous AIX, création de l’utilisateur et des groupes de support de messagerie Pour créer un utilisateur et des groupes de support de messagerie sous AIX, procédez comme suit : 1. Créez les groupes de support de messagerie intégrée WebSphere requis, mqm et mqbrkrs, puis créez l’utilisateur mqm. Ajoutez l’utilisateur mqm au groupe mqm. Ajoutez root dans les deux groupes. Par exemple, entrez : mkuser mqm mkgroup -A mqm mkgroup -A mqbrkrs useradd -G mqm mqm chuser groups=mqm,mqbrkrs root
2. Pour que les modifications prennent effet, déconnectez-vous en tant que root, puis reconnectez-vous. Remarque : En cas d’exécution dans l’environnement CDE, il ne suffit pas de fermer les consoles ouvertes. Vous devez vous déconnecter complètement. 3. Pour vérifier les modifications, entrez : su -root groups
Déterminez si root se trouve dans les groupes mqm et mqbrkrs.
Sous Solaris, spécification des utilisateurs et des groupes de support de messagerie Pour créer un utilisateur de support de messagerie intégrée WebSphere et des groupes de support de messagerie sous Solaris, créez les groupes de support de
© Copyright IBM Corp. 2004
115
messagerie intégrée WebSphere requis, mqm et mqbrkrs, puis créez l’utilisateur mqm. Ajoutez l’utilisateur mqm au groupe mqm. Ajoutez root dans les deux groupes. Procédez comme suit : 1. Lancez admintool. 2. Cliquez sur Parcourir –> Groupe dans la barre des tâches. 3. Cliquez sur Editer –> Ajouter. 4. Dans la zone Nom de groupe, entre le groupe mqm et assurez-vous que la liste des membres contient mqm et root. 5. Répétez ces étapes pour le groupe mqbrkrs, puis assurez-vous que la liste des membres ne contient que root. 6. Pour que les modifications prennent effet, déconnectez-vous en tant que root, puis reconnectez-vous. Remarque : En cas d’exécution dans l’environnement CDE, il ne suffit pas de fermer les consoles ouvertes. Vous devez vous déconnecter complètement.
Sous HP-UX, création d’utilisateurs et de groupes de support de messagerie Pour créer un utilisateur et des groupes de support de messagerie sous HP-UX, procédez comme suit : 1. Créez les groupes de support de messagerie intégrée WebSphere requis mqm et mqbrkrs, puis créez l’utilisateur mqm. Ajoutez l’utilisateur mqm au groupe mqm. Ajoutez root dans les deux groupes. Par exemple, entrez : useradd mqm groupadd mqm groupadd mqbrkrs usermod -G mqm mqm usermod -G mqm root usermod -G mqbrkrs root
Remarque : Les tâches ci-dessus peuvent également être effectuées à l’aide de l’outil SAM. 2. Pour que les modifications prennent effet, déconnectez-vous en tant que root, puis reconnectez-vous. Remarque : En cas d’exécution dans l’environnement CDE, il ne suffit pas de fermer les consoles ouvertes. Vous devez vous déconnecter complètement. 3. Pour vérifier les modifications, entrez : su -root groups
Vérifiez que root se trouve dans les groupes mqm et mqbrkrs.
Sous Linux, création de l’utilisateur et des groupes de support de messagerie Pour créer un utilisateur et des groupes de support de messagerie sous Linux, procédez comme suit : 1. Créez les groupes de support de messagerie intégrée WebSphere requis mqm et mqbrkrs. groupadd mqm groupadd mqbrkrs
116
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
2. Créez l’utilisateur mqm. Ajoutez l’utilisateur mqm au groupe mqm. Par exemple, entrez : adduser -d /home/mqm -g mqm -p motdepasse mqm
où : -d
Correspond au répertoire de l’utilisateur mqm
-g
Correspond au nom de groupe créé à l’aide de la commande groupadd
-p Correspond au mot de passe de l’utilisateur mqm 3. Interrogez les groupes existants dans lesquels root est membre : groups
Par exemple, root peut appartenir au groupe mongroupe. 4. Utilisez la commande usermod pour ajouter root à ses groupes existants et aux groupes mqm et mqmbrkrs. usermod -G groupes_existants,mqm,mqbrkrs root
où : -G
Correspond au groupe créé à l’aide de la commande groupadd
groupes_existants Correspond à une liste de groupes supplémentaires auxquels l’utilisateur appartient également. Chaque groupe est séparé du suivant par une virgule, sans espace. Par exemple, entrez : usermod -G mongroupe,mqm,mqbrkrs root
5. Pour que les modifications prennent effet, déconnectez-vous en tant que root, puis reconnectez-vous. Remarque : En cas d’exécution dans l’environnement CDE, il ne suffit pas de fermer les consoles ouvertes. Vous devez vous déconnecter complètement. 6. Pour vérifier les modifications, entrez : su -root groups
Déterminez si root se trouve dans les groupes mqm et mqbrkrs.
Vérification des paramètres du noyau Les sections ci-après décrivent les spécifications de définition du noyau requises par WebSphere Application Server et le support de messagerie intégrée WebSphere sur les diverses plateformes. Vérification des paramètres du noyau Solaris 8 et des fichiers et des processus de Solaris 9 : Sous Solaris 8, vérifiez que les paramètres de noyau supplémentaires suivants sont indiqués pour le serveur et le client de messagerie intégrée : v set shmsys:shminfo_shmmax = 4294967295 v set shmsys:shminfo_shmseg = 1024 v set shmsys:shminfo_shmmni = 1024 v set semsys:seminfo_semmsl = 100 v set semsys:seminfo_semaem = 16384 Annexe B. Préparation de l’environnement WebSphere
117
v v v v
set set set set
semsys:seminfo_semmni = 1024 semsys:seminfo_semmap = 1026 semsys:seminfo_semmns = 16384 msgsys:msginfo_msgmap = 1026
v set semsys:seminfo_semopm = 100 v set semsys:seminfo_semmnu = 2048 v set semsys:seminfo_semume = 256 v set msgsys:msginfo_msgmax = 65535 v set rlim_fd_cur=1024 Sous Solaris 9, accédez au site suivant pour obtenir les fichiers et processus supplémentaires qui permettent de vérifier si les conditions préalables sont remplies : http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP &q=Solaris&uid=swg24005009&loc=en_US&cs=utf-8&lang=en
Par ailleurs, sous Solaris 9, assurez-vous que le paramètre de noyau suivant est spécifié : set semsys:seminfo_semmsl = 100
Vérification des paramètres du noyau HP-UX pour Tivoli Identity Manager : Sous HP-UX, vérifiez que les paramètres de noyau supplémentaires suivants sont indiqués pour Tivoli Identity Manager : v HP-UX : Tivoli Identity Manager doit respecter les conditions requises pour WebSphere Application Server et le support de messagerie intégrée WebSphere qui nécessitent des paramètres de noyau HP-UX supplémentaires. Vous devez éditer le fichier /usr/conf/master.d/core-hpux pour que l’utilitaire SAM puisse définir des valeurs supérieures à 2048. Pour des informations supplémentaires sur l’installation et la migration de WebSphere Application Server sous HP-UX, accédez à l’adresse Web suivante : http://publib7b.boulder.ibm.com/wasinfo1/en/info/aes/ae/rins_prereq.html#prereqHpux
Remarque : La liste suivante est très similaire à celle fournie par le site Web de WebSphere Application Server, mais elle contient également des valeurs de noyau supplémentaires. – dbc_max_pct=25 – maxdsiz=805306358 – maxdsiz=2048000000 (lorsque le produit de base et le produit Network Deployment se trouvent sur un même ordinateur) – maxfiles_lim=8196 (Modifiez cette valeur avant maxfiles.) – maxfiles=8000 – maxssiz=8388608 – maxswapchunks=8192 – max_thread_proc=3000 – maxuprc=512 – maxusers=512 – msgmap=2048 – msgmax=65535 – msgmax=131070 (lorsque le produit de base et le produit Network Deployment se trouvent sur un même ordinateur)
118
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
– msgmnb=65535 – msgmnb=131070 (lorsque le produit de base et le produit Network Deployment se trouvent sur un même ordinateur) – msgmni=50 – msgseg=32767 – msgssz=32 – msgtql=2046 – nfile=58145 – nflocks=3000 – ninode=60000 – nkthread=7219 – nproc=4116 – npty=2024 – nstrpty=1024 – – – – – – –
nstrtel=60 sema=1 semaem=16384 semvmx=32767 semmap=514 semmni=2048 semmns=16384
– semmnu=1024 – semume=200 – shmmax=2147483647 – shmmni=1024 – shmem=1 – shmseg=1024 – STRMSGSZ=65535
Installation de WebSphere Application Server sous Solaris 9 Sous Solaris 9, accédez au site Web suivant pour plus d’informations sur les fichiers et processus requis pour installer WebSphere Application Server : http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP &q=Solaris&uid=swg24005009&loc=en_US&cs=utf-8&lang=en
Installation de WebSphere Application Server sous AIX 5.2 Pour une installation sous AIX 5.2, accédez au site Web suivant afin d’obtenir plus d’informations sur les fichiers et processus requis pour installer WebSphere Application Server : http://www-1.ibm.com/support/docview.wss?rs=180&context=SSEQTP &q=4004726&uid=swg24004726&loc=en_US&cs=utf-8&lang=en
Utilisation d’un serveur WebSphere MQ version 5.3 existant Le serveur et le client de messagerie intégrée WebSphere (support de messagerie intégrée WebSphere) sont des composants WebSphere 5.0 requis par Tivoli Identity Manager. Pour installer ces composants WebSphere, vous devez supprimer IBM MQSeries version 5.2 si celui-ci réside déjà sur l’ordinateur cible.
Annexe B. Préparation de l’environnement WebSphere
119
Si WebSphere MQ version 5.3 réside sur l’ordinateur, assurez-vous que les composants WebSphere MQ suivants sont installés avant le client et le serveur du support de messagerie intégrée WebSphere : v WebSphere MQ version 5.3 avec la mise à jour CSD03 v Fonctionnalités WebSphere MQ pour le serveur et pour la messagerie Java Pour déterminer la version existante, lancez l’utilitaire mqver fourni par WebSphere MQ. Pour plus de détails, consultez la documentation d’installation de WebSphere Application Server.
Validation de la disponibilité du port 9090 WebSphere Application Server utilise le port 9090 pour sa console d’administration. Si le port est utilisé sur le système, vous devez choisir un port différent et disponible pour la console d’administration WebSphere. Pour vérifier si le port est utilisé, entrez la commande suivante : netstat -an | grep 9090
Configuration des clusters Tivoli Identity Manager Le processus d’installation et de configuration des clusters comprend la séquence suivante : 1. «Installation de WebSphere Application Server Network Deployment» 2. «Installation d’IBM HTTP Server et du plug-in du serveur WebSphere» à la page 122 3. «Installation de la version de base sur chaque noeud» à la page 123 4. «Ajout de noeuds dans une cellule» à la page 124 5. «Vérification de l’exécution de Network Deployment Manager et des agents de noeud» à la page 125 Par la suite, vous pouvez créer un ou plusieurs clusters, selon la procédure décrite dans la section «Création de clusters à l’aide de Network Deployment Manager» à la page 72.
Installation de WebSphere Application Server Network Deployment Remarque : S’il s’agit d’une mise à niveau, WebSphere Application Server Network Deployment 5.0 peut être chargé sur le serveur principal ou secondaire de Tivoli Identity Manager 4.4.x. Pour installer WebSphere Application Server Network Deployment, procédez comme suit : 1. Déterminez si l’ordinateur contient suffisamment de mémoire et d’espace disque disponible. 2. Procurez-vous à l’avance le kit de mise à jour ou l’APAR requis, s’il y a lieu. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. 3. Montez le CD-ROM du produit initial. Pour plus d’informations sur les CD de produit et sur leur contenu, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107.
120
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
4. Ouvrez le programme d’installation de WebSphere Application Server Network Deployment en entrant : unité_rép:/LaunchPad.sh
5. Dans la boîte de dialogue initiale, acceptez les conditions de licence. Le programme d’installation recherche les composants prérequis. Par exemple, il se peut qu’il détecte un correctif manquant, tel qu’une police requise pour l’affichage des caractères japonais. Consultez la documentation fournie par WebSphere Application Server Network Deployment et procurez-vous les correctifs manquants que vous jugez indispensables. Remarque : Pendant la vérification des composants prérequis, le programme d’installation détecte toutes les versions précédemment installées de WebSphere Application Server Network Deployment et affiche une boîte de dialogue de migration et de coexistence. Si vous souhaitez la coexistence des deux versions de WebSphere Application Server Network Deployment, sélectionnez Modifier les ports pour la coexistence, puis modifiez les numéros de port dans la boîte de dialogue de coexistence. A la fin de l’installation, vous devez modifier la valeur de port de la connexion SOAP dans le fichier wsadmin.properties qui se trouve dans le répertoire WAS_NDM_HOME/properties, de sorte qu’elle corresponde à la nouvelle valeur de port. 6. Cliquez sur Suivant. La boîte de dialogue qui apparaît permet de sélectionner des fonctions pour le déploiement de réseau. 7. Acceptez les valeurs par défaut et cliquez sur Suivant. La boîte de dialogue qui apparaît affiche le répertoire de destination d’installation, l’espace requis et l’espace disponible. 8. Acceptez ou modifiez le répertoire par défaut, assurez-vous qu’il existe suffisamment d’espace disque pour l’installation, puis cliquez sur Suivant. La boîte de dialogue qui apparaît vous invite à entrer des valeurs pour le nom de noeud, le nom d’hôte et le nom de cellule. 9. Acceptez les valeurs par défaut ou entrez les valeurs de zone demandées. Par exemple : Nom du noeud Acceptez la chaîne par défaut ou indiquez une chaîne identifiant le noeud. Par exemple : nomhôte Nom d’hôte ou adresse IP Entrez le nom d’hôte complet ou l’adresse IP de l’ordinateur cible. Nom de cellule Entrez une valeur identifiant la cellule. Par exemple, entrez : ITIM_CELL_A1
10. Cliquez plusieurs fois sur Suivant pour accéder aux boîtes de dialogue suivantes : v Résumé de l’installation v Progression de l’installation v Enregistrement du produit v Exécution v Fin
Annexe B. Préparation de l’environnement WebSphere
121
11. Répondez à la boîte de dialogue Premiers pas, qui vous invite à démarrer le serveur et à lancer un test de vérification d’installation. Utilisez l’adresse Web suivante pour accéder à la console d’administration : http://hôtedéploiementréseau:9090/admin
où hôtedéploiementréseau désigne le nom d’hôte complet de l’ordinateur sur lequel vous avez installé WebSphere Application Server Network Deployment. Remarque : Si deux versions de WebSphere Application Server Network Deployment coexistent, remplacez le numéro de port par défaut par le numéro de port configuré lors de l’installation. 12. Installez le kit de mise à jour ou l’APAR requis. Remarque : Avant d’installer un kit de mise à jour ou un APAR, arrêtez le système WebSphere Application Server Network Deployment. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes.
Installation d’IBM HTTP Server et du plug-in du serveur WebSphere Pour installer IBM HTTP Server et le plug-in du serveur Web WebSphere, procédez comme suit : 1. Montez le CD-ROM de produit initial. Pour plus d’informations sur les CD de produit et sur leur contenu, voir Annexe A, «Images d’installation sous forme de CD-ROM et de kits de mise à jour», à la page 107. 2. Lancez l’installation à l’aide de WebSphere Application Server base. 3. Accédez aux boîtes de dialogue d’installation suivantes en acceptant les valeurs par défaut. 4. Cochez la case pour accepter la reconfiguration, si une boîte de dialogue d’installation vous propose le choix suivant : Reconfigurer le logiciel pour le faire coexister avec d’autres versions
5. Accédez aux boîtes de dialogue Vérification du niveau du système d’exploitation et à toutes les autres boîtes de dialogue qui vérifient les composants prérequis. 6. Sélectionnez Personnalisé lorsqu’une boîte dialogue fournissant ce choix apparaît. 7. Cliquez sur Suivant. Une boîte de dialogue de sélection de fonctions s’affiche. 8. Dans cette boîte de dialogue, sélectionnez uniquement les éléments suivants : v IBM HTTP Server v Plug-ins du serveur Web (pour IBM HTTP Server) 9. Cliquez sur Suivant. La boîte de dialogue qui apparaît affiche les répertoires cible par défaut et les valeurs d’espace disque disponible et requis. Remarque : Si cette installation est prévue pour une coexistence avec une précédente installation, le répertoire d’installation par défaut peut être utilisé pour IBM HTTP Server 5.0 car il est différent du répertoire par défaut inclus dans le cadre de l’installation d’IBM HTTP Server 4.0. 10. Acceptez les répertoires cible par défaut, modifiez la cible ou modifiez l’espace disque disponible de votre ordinateur. Cliquez sur Suivant.
122
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
La boîte de dialogue qui apparaît récapitule les fonctions à installer, ainsi que leur emplacement. 11. Cliquez plusieurs fois sur Suivant pour accéder aux boîtes de dialogue suivantes : v Rapport de progression v Enregistrement du produit v Exécution 12. Procurez-vous et installez le Fix Pack WebSphere Application Server base requis qui comprend également le correctif destiné à IBM HTTP Server. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes.
Génération du fichier de configuration du plug-in du serveur Web WebSphere Générez le fichier de configuration du plug-in du serveur Web WebSphere. Avant d’installer le correctif, vous devez arrêter IBM HTTP Server. Procédez comme suit : 1. Connectez-vous à la console d’administration de Network Deployment Manager. 2. Dans la sous-fenêtre de gauche de la console, cliquez sur Environnement –> Mise à jour du plug-in du serveur Web –> OK pour mettre à jour le plug-in du serveur Web. Le fichier de configuration plugin-cfg.xml du plug-in du serveur Web est alors généré dans NDM_HOME/config/cells. 3. Une fois la mise à jour du plug-in terminée, cliquez sur Sauvegarder pour sauvegarder votre configuration dans le référentiel maître. Remarque : Lorsque vous sauvegardez la configuration, sélectionnez Synchroniser les modifications avec les noeuds. 4. Si IBM HTTP Server est installé sur l’ordinateur qui est doté de Network Deployment Manager, vérifiez que la ligne suivante figure dans le fichier de configuration répinstall_serveur_http/conf/httpd.conf : Remarque : Cette étape n’est pas nécessaire si IBM HTTP Server et Network Deployment Manager sont installés sur des postes différents. v AIX : WebSpherePluginConfig /usr/WebSphere/DeploymentManager/config/cells/plugin-cfg.xml
v Solaris et Linux : WebSpherePluginConfig /opt/WebSphere/DeploymentManager/config/cells/plugin-cfg.xml
Installation de la version de base sur chaque noeud Installez WebSphere Application Server base, en répétant les étapes suivantes sur chaque noeud qui fait partie de la cellule : 1. Lancez le programme d’installation de WebSphere Application Server base. 2. Accédez à la boîte de dialogue qui répertorie les fonctions à installer. Remarques : a. Pendant la vérification des composants prérequis, le programme d’installation détecte toutes les versions précédemment installées de WebSphere Application Server base et affiche une boîte de dialogue de migration et de coexistence. Si vous souhaitez la coexistence des deux versions de WebSphere Application Server base, sélectionnez Modifier les ports pour la coexistence, puis modifiez les numéros de port dans la boîte de dialogue de coexistence. A la fin de l’installation, vous devez modifier la Annexe B. Préparation de l’environnement WebSphere
123
valeur de port de la connexion SOAP dans le fichier wsadmin.properties qui se trouve dans le répertoire WAS_HOME\AppServer\properties, de sorte qu’elle corresponde à la nouvelle valeur de port. b. Pour améliorer les performances et pour éviter les éventuels incidents au niveau du fonctionnement de la console Web, il est conseillé de ne pas installer les exemples d’application, les outils d’assemblage et de déploiement d’application et les utilitaires ant qui sont inclus dans WebSphere Application Server. 3. Cliquez sur Suivant. La boîte de dialogue qui apparaît récapitule les fonctions à installer. Sélectionnez celles dont vous avez besoin. 4. Cliquez plusieurs fois sur Suivant pour accéder aux boîtes de dialogue suivantes : v Rapport de progression v Enregistrement du produit v Exécution 5. Installez le kit de mise à jour requis. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. 6. Préparez le nouveau noeud afin de l’inclure dans la cellule. Pour ce faire, procédez comme suit : a. Accédez aux répertoire bin de WebSphere. b. Démarrez le serveur à l’aide de la commande suivante : startServer serveur1
Ajout de noeuds dans une cellule Avant de commencer, assurez-vous que le serveur WebSphere Application Server (serveur1) est en cours d’exécution sur le noeud que vous souhaitez ajouter dans une cellule. Sur la console d’administration de Network Deployment Manager, suivez la procédure ci-dessous pour ajouter un noeud dans une cellule. 1. Cliquez sur Administration du système –> Cellule. 2. Accédez à la boîte de dialogue suivante et cliquez sur Noeuds dans la partie inférieure de l’onglet Configuration. 3. Dans la boîte de dialogue Noeuds qui apparaît, cliquez sur Ajouter un noeud. Indiquez le nom d’hôte et les ports du noeud, puis cliquez sur OK. Une boîte de dialogue de progression apparaît ; elle signale l’ajout du noeud. Remarque : Sous Linux, un message d’erreur WebSphere Application Server peut signaler un échec de la recherche du nom d’hôte nomhôte sur le port AdresseIP. Examinez le fichier /etc/hosts. Si la ligne suivante indique une valeur pour AdresseIPnomhôte telle que 127.0.0.1winsec5, mettez-la en commentaire. Copiez cette ligne en la modifiant pour qu’elle n’indique que l’adresse AdresseIP. Par exemple : # Ne supprimez pas la ligne ci-après (les programmes # nécessitant la fonctionnalité réseau pourraient échouer). # 127.0.0.1 winsec5 localhost.localdomain localhost 127.0.0.1 localhost.localdomain localhost
124
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Vous avez également la possibilité d’ajouter un noeud dans une cellule en exécutant le script addNode.sh, puis le script startNode.sh. Par exemple, entrez la ligne suivante sur l’ordinateur à ajouter comme noeud : ./addNode.sh NomNoeudServeur 8879 ./startNode.sh
Redémarrage du noeud WebSphere Application Server démarre automatiquement des agents de noeud une fois que ces derniers sont ajoutés dans une cellule. Si IBM DB2 est la base de données et si le profil IBM DB2 n’est pas configuré par défaut, vous devez arrêter les agents de noeud, configurer le profil IBM DB2 et redémarrer les agents de noeud. Sur le noeud éloigné, procédez comme suit : 1. Arrêtez le noeud. Entrez : WAS_HOME/bin/stopNode.sh
2. Configurez le profil IBM DB2 à l’aide d’un répertoire db2InstanceHome valide. Pour plus d’informations, voir «Configuration du profil IBM DB2 sur chaque ordinateur membre du cluster» à la page 18. 3. Démarrez le noeud. Par exemple, entrez : WAS_HOME/bin/startNode.sh
Création d’un cluster Sur la console d’administration de Network Deployment Manager, suivez la procédure ci-dessous pour créer un cluster. 1. Cliquez sur Serveurs –> Cluster. 2. Dans la boîte de dialogue qui apparaît ensuite, cliquez sur Suivant. 3. Entrez le nom du cluster, sélectionnez le serveur approprié et cliquez sur Suivant. 4. Complétez la boîte de dialogue Créez des serveurs en clusters, en indiquant un membre de cluster, puis cliquez sur Valider. Renouvelez cette opération pour d’autres membres du cluster. Une fois que la liste est complète, cliquez sur Suivant. 5. Consultez le récapitulatif des membres du cluster pour vous assurer que la liste des membres de cluster est correcte. Cliquez sur Terminer. 6. Sélectionnez Synchroniser les modifications avec les noeuds et sauvegardez la configuration dans le référentiel maître.
Vérification de l’exécution de Network Deployment Manager et des agents de noeud Pour vous assurer que Network Deployment Manager et tous les agents de noeud WebSphere Application Server sont en cours d’exécution, procédez comme suit : Remarque : Si IBM DB2 est la base de données, vous devez, sous AIX et Solaris, configurer le profil IBM DB2 sur chaque ordinateur membre du cluster pour vous assurer que Tivoli Identity Manager peut communiquer avec la base de données. Pour plus d’informations, voir «Configuration du profil IBM DB2 sur chaque ordinateur membre du cluster» à la page 18.
Annexe B. Préparation de l’environnement WebSphere
125
1. Accédez à la console d’administration de l’ordinateur sur lequel Network Deployment Manager est installé, en entrant : http://hôte_NDM:9090/admin
Pour déterminer l’état de Network Deployment Manager, vous pouvez exécuter le fichier suivant sur l’ordinateur sur lequel Network Deployment Manager est installé : WAS_NDM_HOME/bin/serverStatus.sh nomserveur
nomserveur pouvant correspondre à un nom de serveur tel que serveur1 ou -all. Pour déterminer l’état du serveur JMS, du serveur d’applications et de l’agent de noeud, exécutez le fichier suivant sur l’ordinateur sur lequel WebSphere Application Server base est installé : WAS_HOME/bin/serverStatus.sh -all
2. Pour cette étape, Tivoli Identity Manager doit déjà être installé. Pour chaque noeud, déterminez si les variables d’environnement correspondant au chemin de pilote JDBC et à ITIM_HOME sont définies et indiquées correctement. Sur la console d’administration de Network Deployment Manager, cliquez sur Environnement –> Gestion des variables WebSphere. Par exemple, consultez la liste des variables pour déterminer si la valeur de ITIM_HOME est correcte. 3. Démarrez les agents de noeud, les serveurs JMS et les serveurs d’applications pour chaque membre du cluster. Par exemple, cliquez sur Serveurs –> Serveurs d’applications. Cochez la case d’un serveur, tel que serveur1, puis cliquez sur Démarrer. 4. Après avoir démarré des agents de noeud, cliquez sur Administration du système –> Agents de noeud. La fenêtre qui apparaît affiche les agents de noeud et leur état. 5. Pour cette étape, Tivoli Identity Manager doit déjà être installé. Dans un navigateur, entrez l’adresse Web de l’ordinateur sur lequel IBM HTTP Server est en cours d’exécution. Par exemple, entrez : http://monhôte.monlab.maville.masociete.com/enrole
L’écran de connexion de Tivoli Identity Manager apparaît. Connectez-vous à l’application Tivoli Identity Manager.
Configuration des paramètres du service de transactions WebSphere Application Server Les paramètres du service de transactions WebSphere Application Server par défaut sont trop faibles pour traiter la plupart des charges de processus métier standard. Par conséquent, ces paramètres doivent être modifiés de manière à éviter des dépassements de délai de transaction. Les paramètres du service de transactions WebSphere Application Server par défaut sont les suivants : v Dépassement du délai autorisé pour la durée de vie des transactions = 120 v Dépassement du délai d’inactivité du client = 60 Ces valeurs doivent être augmentées respectivement à un minimum de 1200 et 600. Si vous planifiez des tâches d’attribution d’accès importantes, vous pouvez augmenter ces nombres. Vous pouvez modifier les valeurs à l’aide de la console d’administration WebSphere Application Server.
126
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Les procédures ci-dessous expliquent comment modifier les paramètres du service de transactions. En cas d’implémentation d’une configuration en cluster de Tivoli Identity Manager, il est nécessaire de répéter ces procédures sur chaque membre du cluster. 1. Connectez-vous à WebSphere Application Server et ouvrez la console d’administration WebSphere Application Server. 2. Sélectionnez Serveurs –> Serveurs d’applications pour ouvrir la branche correspondante dans l’arborescence située dans la partie gauche de la console et sélectionner le nom de votre serveur. 3. Sélectionnez Service de transactions dans la section Propriétés supplémentaires. 4. Modifiez les valeurs des paramètres Dépassement du délai autorisé pour la durée de vie des transactions et Dépassement du délai d’inactivité du client, de sorte qu’ils correspondent aux charges de processus métier prévues. 5. Cliquez sur OK pour sauvegarder les modifications.
Annexe B. Préparation de l’environnement WebSphere
127
128
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe C. Remarques sur la sécurité La présente section décrit la sécurité supplémentaire que vous pouvez fournir pour l’environnement d’exécution de Tivoli Identity Manager. Elle contient les rubriques suivantes : v «Sécurité J2EE» v «Autres procédures de configuration du serveur HTTP» à la page 136
Sécurité J2EE Une fois activée, la Sécurité J2EE garantit que les utilisateurs authentifiés disposent des droits nécessaires pour accéder aux composants EJB Tivoli Identity Manager. La configuration de ce composant de sécurité consiste à configurer un mécanisme d’authentification et un registre d’utilisateurs. La procédure manuelle varie selon si le déploiement concerne une configuration à noeud unique ou à plusieurs noeuds. Voici la procédure à suivre : 1. Configurez manuellement le mécanisme d’authentification et le registre d’utilisateurs avant d’installer Tivoli Identity Manager. 2. Indiquez des ID et des mots de passe d’utilisateur de sécurité lors de l’installation de Tivoli Identity Manager. 3. A la suite de l’installation, mappez manuellement un utilisateur d’administration vers un rôle Tivoli Identity Manager.
Configuration de la sécurité pour un déploiement à noeud unique La présente section décrit la procédure manuelle utilisée pour configurer la Sécurité J2EE pour un déploiement à noeud unique.
Procédure manuelle pour les déploiements à noeud unique avant l’installation de Tivoli Identity Manager Pour configurer le composant de Sécurité J2EE, effectuez les opérations suivantes avant d’installer Tivoli Identity Manager : Définition d’un utilisateur d’administration : Pour définir un utilisateur d’administration, procédez comme suit : 1. Créez ou sélectionnez un utilisateur d’administration dans le registre d’utilisateurs de votre système d’exploitation. Dans les exemples ci-dessous, l’utilisateur est appelé Utilisateur système ou wasadmin. 2. Créez ou sélectionnez un autre utilisateur d’administration dans le registre d’utilisateurs de votre système d’exploitation. Dans les exemples ci-dessous, l’utilisateur Utilisateur d’EJB ou itimadmin. Définition du mécanisme d’authentification et du registre d’utilisateurs : Pour définir le mécanisme d’authentification et le registre d’utilisateurs, procédez comme suit : 1. Démarrez le serveur d’administration WebSphere et ouvrez une session sur la console. 2. Cliquez sur Sécurité –> Sécurité globale.
© Copyright IBM Corp. 2004
129
3. Sélectionnez les options suivantes : v Mécanisme d’authentification actif : SWAM (Simple WebSphere Authentication Mechanism) v Registre d’utilisateurs actif : Système d’exploitation local 4. Sauvegardez les modifications apportées à la configuration. Configuration du registre d’utilisateurs du système d’exploitation local : Pour configurer le registre d’utilisateurs du système d’exploitation local, procédez comme suit : 1. Cliquez sur Sécurité –> Registres d’utilisateurs–> Système d’exploitation local. 2. Entrez l’ID (wasadmin) et le mot de passe de l’utilisateur système. 3. Sauvegardez les modifications apportées à la configuration. Activation de la sécurité : Pour activer la sécurité, procédez comme suit : 1. Cliquez sur Sécurité –> Sécurité globale. 2. Cliquez sur Activée. 3. Vous avez également la possibilité de cliquer sur Application de la sécurité Java 2 si vous souhaitez activer la sécurité Java 2. Lorsque cette option est sélectionnée, toutes les applications doivent prendre en charge la sécurité Java 2. 4. Sauvegardez les modifications apportées à la configuration. Exécution lorsque la sécurité est activée pour un déploiement à noeud unique : Pour lancer l’exécution lorsque la sécurité est activée pour un déploiement à noeud unique, redémarrez le serveur d’administration WebSphere. Lors du démarrage de ce dernier, vous êtes peut-être invité à indiquer l’ID utilisateur et le mot de passe de l’utilisateur d’administration WebSphere. Par exemple : WAS_HOME/bin/stopServer.sh serveur1 [-username wasadmin -password motdepassewasadmin] WAS_HOME/bin/startServer.sh serveur1 [-username wasadmin -password motdepassewasadmin]
Procédure manuelle pour les déploiements à noeud unique après l’installation de Tivoli Identity Manager Pour configurer le composant de Sécurité J2EE, effectuez les opérations suivantes après l’installation de Tivoli Identity Manager : Mappage d’un utilisateur d’administration vers un rôle Tivoli Identity Manager : Pour mapper un utilisateur d’administration vers un rôle Tivoli Identity Manager, procédez comme suit : 1. Sur la console d’administration WebSphere Application Server, cliquez sur Applications –> Applications d’entreprise. 2. Cliquez sur enRole. 3. Faites défiler l’écran Propriétés supplémentaires vers le bas et cliquez sur Mapper les rôles de sécurité vers les utilisateurs/groupes. 4. Cochez la case correspondant à ITIM_SYSTEM. 5. Cliquez sur Rechercher les utilisateurs. 6. Cliquez sur Rechercher. 7. Dans la liste, sélectionnez l’utilisateur d’EJB (itimadmin). 8. Cliquez sur OK. 9. Assurez-vous que les cases Tous les utilisateurs ? ou Tous les utilisateurs authentifiés ? ne sont PAS cochées.
130
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Remarque : Pour interdire l’accès non autorisé, il est important de désactiver ces cases à cocher. 10. Sauvegardez les modifications apportées à la configuration. Configuration du fichier was.policy : Assurez-vous que le fichier was.policy existe dans le répertoire suivant du noeud : WAS_HOME/config/cells//applications/enRole.ear/deployements/enrole/META-INF
Ce fichier de règles octroie à Tivoli Identity Manager les droits d’exécution. Même si ces règles n’imposent aucune restriction à Tivoli Identity Manager, l’activation de la sécurité Java 2 permet la mise en application de la sécurité dans d’autres applications gérées par WebSphere. Si le fichier n’existe pas, recherchez-le et copiez-le à partir du CD-ROM du produit ou créez le fichier dans le répertoire indiqué. Le contenu du fichier doit être similaire au suivant : grant codeBase "file:;${application}" { permission java.security.AllPermission; };
Mise à jour des configurations Tivoli Identity Manager avec l’utilisateur système et l’utilisateur d’EJB : Si vous avez apporté des modifications à l’utilisateur système et à l’utilisateur d’EJB, vous devez mettre à jour les configurations Tivoli Identity Manager en indiquant de nouvelles valeurs pour l’utilisateur système et l’utilisateur d’EJB. Procédez comme suit : 1. Démarrez le programme de configuration système. Pour ce faire, procédez comme suit : ITIM_HOME/bin/runConfig
2. Sélectionnez l’onglet Sécurité. La fenêtre correspondant à l’onglet Sécurité s’affiche.
Figure 44. Fenêtre de l’onglet Sécurité
Annexe C. Remarques sur la sécurité
131
3. Mettez à jour la zone Utilisateur système et le mot de passe associé à l’aide de l’ID utilisateur wasadmin que vous avez créé dans le registre du système d’exploitation local. 4. Mettez à jour la zone Utilisateur d’EJB et le mot de passe associé à l’aide de l’ID utilisateur itimadmin que vous avez créé dans le registre du système d’exploitation local. 5. Cliquez sur OK. Redémarrage de Tivoli Identity Manager dans un déploiement à noeud unique : Pour lancer l’exécution lorsque la sécurité est activée dans un déploiement à noeud unique, redémarrez Tivoli Identity Manager et connectez-vous lorsque vous y êtes invité. Par exemple, pour redémarrer Tivoli Identity Manager, entrez : ITIM_HOME/bin/itim stop.sh wasadmin motdepassewasadmin ITIM_HOME/bin/itim start.sh wasadmin motdepassewasadmin
Définition du délai d’expiration par défaut du jeton : La fonction de sécurité utilise un jeton qui arrive à expiration après un délai d’inactivité du système. La valeur par défaut est de 120 minutes, ce qui risque de ne pas être suffisamment élevé pour Tivoli Identity Manager. Remarque : Sur certains systèmes, il se peut que le délai d’expiration réel soit inférieur à la valeur indiquée. A l’expiration du délai, vous risquez de ne pas pouvoir vous connecter. Vous devez alors recycler Network Deployment Manager, le cluster et tous les agents du noeud. Pour vous assurer que la valeur d’expiration du jeton est suffisamment élevée pour empêcher les dépassements de délai accidentels, procédez comme suit : 1. Accédez à la console d’administration WebSphere Application Server. 2. Cliquez sur Sécurité –> Authentification –> LTPA –> Délai d’expiration. 3. Affectez au délai d’expiration du jeton une valeur dépassant le délai d’inactivité anticipé maximal du système de votre site.
Configuration de la sécurité pour un déploiement à plusieurs noeuds La présente section décrit la procédure manuelle utilisée pour configurer la Sécurité J2EE pour un déploiement à plusieurs noeuds.
Procédure manuelle pour un déploiement à plusieurs noeuds avant l’installation de Tivoli Identity Manager Pour configurer le composant de Sécurité J2EE, effectuez les opérations suivantes avant d’installer Tivoli Identity Manager : Configuration du protocole LDAP pour la sécurité à plusieurs noeuds : Pour configurer le protocole LDAP pour la sécurité à plusieurs noeuds, procédez comme suit : 1. A l’aide de l’outil de gestion du serveur d’annuaires, créez l’unité organisationnelle ou=wasSecurity,dc=com, où com peut correspondre au suffixe de votre organisation. 2. Créez l’objet Utilisateur d’une organisation partenaire, cn=wasadmin,ou=wasSecurity,dc=com. Dans cet exemple, l’utilisateur admin WebSphere Application Server est désigné par Utilisateur système (wasadmin). Complétez les zones suivantes : v sn=wasadmin
132
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
v uid=wasadmin v userPassword=motdepassewasadmin 3. En outre, créez l’objet Utilisateur d’une organisation partenaire cn=itimadmin,ou=wasSecurity,dc=com. Dans cet exemple, l’utilisateur admin Tivoli Identity Manager est désigné par Utilisateur d’EJB (itimadmin). Complétez les zones suivantes : v sn=itimadmin v uid=itimadmin v userPassword=motdepasseitimadmin Configuration du mécanisme d’authentification et du registre d’utilisateurs : Pour configurer le mécanisme d’authentification et le registre d’utilisateurs, procédez comme suit : 1. Démarrez le serveur d’administration WebSphere et ouvrez une session sur la console. 2. Cliquez sur Sécurité –> Sécurité globale. 3. Sélectionnez les options suivantes : v Mécanisme d’authentification actif : LTPA (Lightweight Third Party Authentication) v Registre d’utilisateurs actif : LDAP 4. Sauvegardez les modifications apportées à la configuration. Configuration du mécanisme d’authentification : Pour configurer le mécanisme d’authentification, procédez comme suit : 1. Cliquez sur Sécurité –> Mécanismes d’authentification –> LTPA. 2. Créez et confirmez un mot de passe pour le mécanisme d’authentification LTPA. 3. Sauvegardez les modifications apportées à la configuration. Configuration du registre d’utilisateurs LDAP : Pour configurer le registre d’utilisateurs LDAP, procédez comme suit : 1. Cliquez sur Sécurité –> Registres d’utilisateurs–> LDAP. 2. Sélectionnez les options suivantes : v ID utilisateur administrateur=wasadmin v Mot de passe administrateur=motdepassewasadmin v Type=typeserveurannuaires où typeserveurannuaires désigne le serveur d’annuaires, tel qu’IBM_Directory_Server. v Hôte=nom d’hôte du serveur LDAP ITIM v Nom distinctif de base : ou=wasSecurity,dc=com v Nom distinctif de liaison : Entrez un nom distinctif de liaison tel que cn=root. v Mot de passe de liaison : Entrez le mot de passe correspondant au nom distinctif de liaison. v Ignorer maj/min. : Cochez cette option. 3. Sauvegardez les modifications apportées à la configuration. Activation de la sécurité : Pour activer la sécurité, procédez comme suit : 1. Cliquez sur Sécurité –> Sécurité globale. Annexe C. Remarques sur la sécurité
133
2. Cliquez sur Activée. 3. Vous avez également la possibilité de cliquer sur Application de la sécurité Java 2 si vous souhaitez activer la sécurité Java 2. Lorsque cette option est sélectionnée, toutes les applications doivent prendre en charge la sécurité Java 2. 4. Sauvegardez les modifications apportées à la configuration. Exécution lorsque la sécurité est activée dans un environnement à plusieurs noeuds : Pour lancer l’exécution lorsque la sécurité est activée, procédez comme suit : 1. Sur l’ordinateur doté de Network Deployment Manager, entrez : WAS_NDM_HOME/bin/stopManager.sh [-username wasadmin -password motdepassewasadmin] WAS_NDM_HOME/bin/startManager.sh [-username wasadmin -password motdepassewasadmin]
2. Sur les autres ordinateurs dotés de l’agent de noeud : WAS_HOME/bin/stopNode.sh [-username wasadmin -password motdepassewasadmin] WAS_HOME/bin/startNode.sh [-username wasadmin -password motdepassewasadmin]
3. Redémarrez le cluster. Procédez comme suit : a. Connectez vous au serveur d’administration WebSphere à l’aide de l’ID utilisateur wasadmin et du mot de passe extraits de la console. b. Cliquez sur Serveurs –> Clusters. c. Sélectionnez le cluster. d. Cliquez sur Arrêter, puis sur Démarrer. 4. Redémarrez le serveur JMS. Procédez comme suit : a. Connectez-vous au serveur d’administration WebSphere. b. Cliquez sur Serveurs –> Serveurs JMS. c. Sélectionnez le serveur. d. Cliquez sur Arrêter, puis sur Démarrer.
Procédure manuelle pour un déploiement à plusieurs noeuds après l’installation de Tivoli Identity Manager Pour configurer le composant de Sécurité J2EE, effectuez les opérations suivantes après l’installation de Tivoli Identity Manager : Mappage d’un utilisateur d’administration vers un rôle Tivoli Identity Manager : Pour mapper un utilisateur d’administration vers un rôle Tivoli Identity Manager, procédez comme suit : 1. Sur la console d’administration WebSphere Application Server, cliquez sur Applications –> Applications d’entreprise. 2. Cliquez sur enRole. 3. Faites défiler l’écran Propriétés supplémentaires vers le bas et cliquez sur Mapper les rôles de sécurité vers les utilisateurs/groupes. 4. Cochez la case correspondant à ITIM_SYSTEM. 5. Cliquez sur Rechercher les utilisateurs. 6. Cliquez sur Rechercher. 7. Dans la liste, sélectionnez l’utilisateur d’EJB (itimadmin). 8. Cliquez sur OK. 9. Assurez-vous que les cases Tous les utilisateurs ? ou Tous les utilisateurs authentifiés ? ne sont PAS cochées. Remarque : Pour interdire les accès non autorisés, il est important de désactiver ces cases à cocher.
134
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
10. Sauvegardez les modifications apportées à la configuration. Configuration du fichier was.policy : Assurez-vous que le fichier was.policy existe dans le répertoire suivant du noeud de Network Deployment Manager : WAS_NDM_HOME/config/cells//applications/enRole.ear/deployements/enrole/META-INF
Ce fichier de règles octroie à Tivoli Identity Manager les droits d’exécution. Même si ces règles n’imposent aucune restriction à Tivoli Identity Manager, l’activation de la sécurité Java 2 permet la mise en application de la sécurité dans d’autres applications gérées par WebSphere. Si le fichier n’existe pas, recherchez et copiez le fichier à partir du CD-ROM du produit ou créez le fichier dans le répertoire indiqué. Le contenu du fichier doit être similaire au suivant : grant codeBase "file:;${application}" { permission java.security.AllPermission; };
Synchronisez la configuration WebSphere Application Server Network Deployment avec les noeuds de la cellule. Redémarrez le cluster Tivoli Identity Manager. Redémarrage de Tivoli Identity Manager dans un environnement à plusieurs noeuds : Pour redémarrer Tivoli Identity Manager, procédez comme suit : 1. Cliquez sur Serveur –> Clusters. 2. Cochez la case en regard du nom du cluster. 3. Cliquez sur Arrêter. Attendez que le cluster s’arrête, puis cliquez sur Démarrer. Définition du délai d’expiration par défaut du jeton : La fonction de sécurité utilise un jeton qui arrive à expiration après un délai d’inactivité du système. La valeur par défaut est de 120 minutes, ce qui risque de ne pas être suffisamment élevé pour Tivoli Identity Manager. Remarque : Sur certains systèmes, il se peut que le délai d’expiration réel soit inférieur à la valeur indiquée. A l’expiration du délai, vous risquez de ne pas pouvoir vous connecter. Vous devez alors recycler Network Deployment Manager, le cluster et tous les agents du noeud. Pour vous assurer que la valeur d’expiration du jeton est suffisamment élevée pour empêcher les dépassements de délai accidentels, procédez comme suit : 1. Accédez à la console d’administration WebSphere Application Server. 2. Cliquez sur Sécurité –> Authentification –> LTPA –> Délai d’expiration. 3. Affectez au délai d’expiration du jeton une valeur dépassant le délai d’inactivité anticipé maximal du système de votre site.
Désactivation de la sécurité J2EE Pour désactiver la sécurité J2EE à l’aide de la console d’administration WebSphere, procédez comme suit : 1. Cliquez sur Sécurité –> Sécurité globale. 2. Désactivez la case Sécurité et Sécurité Java. 3. Arrêtez, puis redémarrez tous les agents du noeud, les serveurs JMS et les serveurs d’applications.
Annexe C. Remarques sur la sécurité
135
Autres procédures de configuration du serveur HTTP Pour accroître la sécurité, configurez un HTTP tel qu’IBM HTTP Server, de sorte qu’il réside sur un ordinateur externe à la cellule, une fois Tivoli Identity Manager installé en intégralité. Ce processus consiste à installer le serveur Web, à copier plusieurs fichiers à partir de Network Deployment Manager et à configurer le serveur Web de sorte qu’il charge et configure un module WebSphere au démarrage du serveur.
Figure 45. Configuration du serveur HTTP pour une sécurité accrue
L’exemple ci-dessous concerne une plateforme Solaris pour IBM HTTP Server ou Apache. Adaptez la procédure suivante pour votre plateforme : 1. Sur l’ordinateur externe, installez et configurez le serveur HTTP. 2. Créez un répertoire sous rép_serveur_http/conf, intitulé WebSphere. 3. Copiez les fichiers suivants du poste de Network Deployment Manager vers le répertoire rép_serveur_http/conf/WebSphere : v gest_déploiement_was/bin/mod_ibm_app_server_http.so v gest_déploiement_was/config/cells/plugin-cfg.xml v gest_déploiement_was/etc/plugin-key.kdb v gest_déploiement_was/etc/plugin-key.sth 4. Sur l’ordinateur externe à la cellule, ouvrez le fichier plugin-cfg.xml dans l’éditeur de texte et apportez les modifications suivantes : v Remplacez chaque instance du répertoire gest_déploiement_was/etc/ par le répertoire serveur_http/conf/WebSphere. En d’autres termes, remplacez /opt/WebSphere/DeploymentManager/etc par /opt/IBMHttpServer/conf/WebSphere.
136
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
v Remplacez le répertoire du fichier http_plugin.log par serveur_http/logs. En d’autres termes, remplacez /opt/WebSphere/AppServer/logs/http_plugin.log par /opt/IBMHttpServer/logs/http_plugin.log. 5. Utilisez un éditeur de texte pour ouvrir le fichier répertoire_principal_serveur_http/conf/httpd.conf et ajoutez les lignes suivantes au bas du fichier : # WebSphere plugin settings LoadModule ibm_app_server_http_module serveur_http/conf/WebSphere/mod_ibm_app_server_http.so WebSpherePluginConfig serveur_http/conf/WebSphere/plugin-cfg.xml
Par exemple, entrez : # WebSphere plugin settings LoadModule ibm_app_server_http_module /opt/IBMHttpServer/conf/WebSphere/mod_ibm_app_server_http.so WebSpherePluginConfig /opt/IBMHttpServer/conf/WebSphere /plugin-cfg.xml
Remarque : Assurez-vous que WebSphere Application Server Fix Pack 2 est également installé sur l’ordinateur qui est doté du plug-in du serveur Web WebSphere.
Annexe C. Remarques sur la sécurité
137
138
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe D. Mise à niveau de Tivoli Identity Manager 4.3 vers Tivoli Identity Manager 4.5, puis 4.5.1 La présente section décrit la mise à niveau des précédents schémas et données de Tivoli Identity Manager version 4.3 à l’aide de WebLogic vers Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server. Avant d’effectuer la migration, mettez à niveau une installation de Tivoli Identity Manager version 4.3 à l’aide de WebLogic vers Tivoli Identity Manager version 4.5 à l’aide de WebLogic. Ce processus permet la mise à niveau de la base de données Tivoli Identity Manager version 4.3 et de l’annuaire LDAP de sorte qu’ils soient compatibles avec Tivoli Identity Manager version 4.5. A la suite de la mise à niveau initiale, une nouvelle installation de Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server est installée dans un dossier d’installation distinct, puis configurée. Une fois que vous avez terminé la procédure précédente qui met à niveau et configure Tivoli Identity Manager version 4.5 dans un dossier d’installation distinct, utilisez l’image d’installation de Tivoli Identity Manager version 4.5.1 pour migrer Tivoli Identity Manager version 4.5 vers la version 4.5.1. Pour plus d’informations, voir Annexe F, «Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1», à la page 155.
Avant de commencer Avant la mise à niveau de Tivoli Identity Manager version 4.3 vers Tivoli Identity Manager version 4.5, procédez comme suit : 1. Mettez à niveau et configurez tous les logiciels faisant partie de l’environnement Tivoli Identity Manager existant, afin de répondre aux exigences de la nouvelle version de Tivoli Identity Manager. Il s’agit notamment de la migration ou de la mise à jour des bases de données et des serveurs d’annuaires. 2. Lors de la mise à niveau du serveur d’annuaires, les entrées de la sous-arborescence de Tivoli Identity Manager sont scannées pour la recherche de la chaîne enrole (sans distinction des majuscules et des minuscules). Si la valeur d’un attribut contient la chaîne enrole, cette dernière est remplacée par itim. Ce remplacement de chaîne s’effectue pour tous les attributs, à l’exception de ceux répertoriés dans le fichier ITIM_HOME\data\enRoleUnchangedAttributes.properties. Avant de lancer le processus de mise à niveau, exportez le contenu de la sous-arborescence LDAP de Tivoli Identity Manager 4.3 vers un fichier LDIF. Recherchez la chaîne enrole dans le fichier LDIF. Si vous trouvez des attributs contenant des valeurs qui ne doivent pas être modifiées lors de la mise à niveau, procédez comme suit : a. Sélectionnez Non pour la mise à jour de l’annuaire LDAP lors de l’installation de Tivoli Identity Manager 4.5. b. Editez le fichier ITIM_HOME\data\enRoleUnchangedAttributes.properties pour ajouter les noms d’attribut. c. Appelez manuellement la mise à jour de l’annuaire LDAP. 3. Assurez-vous que le serveur d’annuaires est en cours d’exécution. © Copyright IBM Corp. 2004
139
4. Sauvegardez toutes les informations Tivoli Identity Manager en cours, notamment les fichiers de propriétés et les paramètres de configuration. Ces fichiers se trouvent dans ITIM_HOME/data . 5. Avant d’effectuer la mise à niveau, vérifiez que tous les éléments de la file d’attente de l’interface graphique de Tivoli Identity Manager sont libérés et que tous les événements planifiés récurrents tels que les rapprochements sont supprimés. La conservation du workflow n’est pas prise en charge lors de la mise à niveau de Tivoli Identity Manager version 4.3 ou 4.4 vers Tivoli Identity Manager version 4.5. Avant une mise à niveau, si vous ne vérifiez pas que le moteur de workflow est bien inactif, des exceptions peuvent être générées lorsque Tivoli Identity Manager tente de lire des événements récurrents ou en attente créés au cours d’une installation précédente. Avant d’effectuer une mise à niveau, arrêtez Tivoli Identity Manager (mais pas le serveur WebLogic) après vous être assuré que les files d’attente de Tivoli Identity Manager étaient vides. Un moyen rapide de vérifier si le moteur de workflow de Tivoli Identity Manager est inactif consiste à vérifier le nombre de messages des files d’attente du workflow (workflow et workflow en attente). Vous pouvez utiliser la console d’administration WebLogic pour vérifier les files d’attente. Procédez comme suit : v Lancez la console d’administration WebLogic. v Ouvrez votre domaine dans l’arborescence. v Cliquez sur Services –> JMS –> Serveurs –> JMSServer dans l’arborescence du domaine. v Cliquez sur l’onglet Monitoring dans la sous-fenêtre de droite. v Cliquez sur le lien Monitor all Active JMS Destinations. v Cliquez sur l’attribut Messages. La valeur de l’attribut Messages doit être égale à zéro pour toutes les files d’attente répertoriées. 6. Vérifiez que le serveur de la base de données est actif. Si vous utilisez Oracle comme base de données Tivoli Identity Manager, connectez-vous à SQLPlus à l’aide d’un compte permettant d’affecter des droits à l’utilisateur ″enrole″. Généralement, l’utilisateur Oracle ″system″ l’y autorise. Connectez-vous par exemple de la manière suivante : sqlplus system/motdepasse@itim_db_instance
Affectez à l’utilisateur ″enrole″ les droits ″Create any procedure″. Entrez la commande suivante : SQL> GRANT CREATE ANY PROCEDURE to enrole;
Quittez la session. Entrez la commande suivante : SQL> quit;
Mise à niveau de Tivoli Identity Manager 4.3 à l’aide de WebLogic vers Tivoli Identity Manager 4.5 à l’aide de WebLogic La présente section décrit la procédure nécessaire à la mise à niveau d’une installation Tivoli Identity Manager 4.3 à l’aide de WebLogic vers une installation Tivoli Identity Manager 4.5 à l’aide de WebLogic. Cette mise à niveau doit être effectuée avant l’installation de Tivoli Identity Manager 4.5 à l’aide de WebSphere Application Server.
140
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
1. Appelez le programme d’installation WebLogic de Tivoli Identity Manager 4.5 et suivez les instructions de l’assistant d’installation jusqu’à ce que la boîte de dialogue Avez-vous installé BEA Weblogic Server 7.0 ? s’affiche. 2. Cliquez sur Non. La boîte de dialogue Voulez-vous continuer l’installation ? apparaît. 3. Cliquez sur Oui. La boîte de dialogue Où voulez-vous installer Weblogic Server ? apparaît. 4. Cliquez sur Suivant pour accepter le répertoire WebLogic Server par défaut. La boîte de dialogue Choisissez le dossier d’installation apparaît. 5. Entrez le répertoire principal de Tivoli Identity Manager 4.3. La boîte de dialogue Voulez-vous mettre à jour ? apparaît. 6. Cliquez sur Oui. La boîte de dialogue Voulez-vous mettre à jour l’annuaire LDAP pendant l’installation ? apparaît. 7. Cliquez sur Oui. La mise à niveau de l’annuaire LDAP est alors lancée. Remarque : Vous pouvez choisir de mettre à niveau l’annuaire LDAP après l’installation, en sélectionnant Non. A la suite de l’installation, appelez l’utilitaire ldapUpgrade situé dans le répertoire bin. Une fois la mise à jour du schéma terminée, la boîte de dialogue La mise à jour du schéma de base de données est terminée apparaît. 8. Cliquez sur OK. A la fin de la mise à niveau LDAP, la boîte de dialogue Schéma et données du serveur de répertoires mis à niveau s’affiche. La mise à niveau de Tivoli Identity Manager 4.3 à l’aide de WebLogic vers Tivoli Identity Manager 4.5 à l’aide de WebLogic est terminée.
Installation de Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server La présente section décrit la procédure d’installation de Tivoli Identity Manager version 4.5 à l’aide de WebSphere Application Server dans le contexte spécifique d’une mise à niveau à partir de Tivoli Identity Manager version 4.3 à l’aide de WebLogic. 1. Appelez le programme d’installation Tivoli Identity Manager 4.5 WebSphere et suivez les instructions de l’assistant d’installation jusqu’à ce que la boîte de dialogue Choisissez le répertoire d’installation s’affiche. 2. Sélectionnez un dossier d’installation Tivoli Identity Manager 4.5 différent du dossier d’installation Tivoli Identity Manager 4.3 d’origine. Par exemple, itim45. La boîte de dialogue Choisissez le type de base de données s’affiche. 3. Sélectionnez le type de base de données existant qui a été utilisé pour l’installation Tivoli Identity Manager 4.3 d’origine. 4. Procédez à une installation standard jusqu’à ce que la boîte de dialogue IBM Tivoli Identity Manager - Configuration de la base de données s’affiche. 5. Cliquez sur Annuler. La boîte de dialogue Configuration de l’annuaire s’affiche. 6. Cliquez sur Annuler. La boîte de dialogue de l’outil de configuration système apparaît. Annexe D. Mise à niveau de Tivoli Identity Manager 4.3 vers Tivoli Identity Manager 4.5, puis 4.5.1
141
7. Sélectionnez l’onglet Annuaire et entrez des informations de connexion pour le serveur d’annuaires existant. 8. Cliquez sur Tester pour vérifier que les informations de connexion entrées sont correctes. 9. Sélectionnez l’onglet Base de données et entrez des informations de connexion pour la base de données existante. 10. Cliquez sur Tester pour vérifier que les informations de connexion entrées sont correctes. 11. Cliquez sur l’onglet Courrier. La fenêtre correspondant à l’onglet Courrier s’affiche. 12. Remplacez la valeur de la zone URL du serveur Identity Manager par celle de votre serveur, puis cliquez sur Valider. 13. Cliquez sur OK et terminez l’installation. L’installation de Tivoli Identity Manager 4.5 à l’aide de WebSphere Application Server est terminée.
Configuration de la nouvelle installation La présente section décrit la procédure de configuration nécessaire à la migration de Tivoli Identity Manager 4.3 à l’aide de WebLogic vers Tivoli Identity Manager 4.5 à l’aide de WebSphere Application Server. Effectuez les étapes de cette section uniquement après la mise à niveau d’une installation Tivoli Identity Manager 4.3 à l’aide de WebLogic vers une installation Tivoli Identity Manager 4.5 à l’aide de WebLogic et une fois que vous avez effectué l’installation de Tivoli Identity Manager 4.5 à l’aide de WebSphere Application Server. 1. Copiez CustomLabels.properties du sous-dossier data de Tivoli Identity Manager 4.3 vers le sous-dossier data de Tivoli Identity Manager 4.5. 2. Modifiez les propriétés suivantes dans le fichier enRole.properties de Tivoli Identity Manager 4.5 de sorte qu’elles correspondent à celles du fichier enRole.properties de Tivoli Identity Manager 4.3 : v enrole.defaulttenant.id v enrole.organization.name
142
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Mise à niveau de la version 4.5 vers la version 4.5.1 Une fois que vous avez terminé la procédure précédente qui met à niveau et configure Tivoli Identity Manager version 4.5 dans un dossier d’installation distinct, utilisez l’image d’installation de Tivoli Identity Manager version 4.5.1 pour migrer Tivoli Identity Manager version 4.5 vers la version 4.5.1. Pour plus d’informations, voir Annexe F, «Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1», à la page 155.
Annexe D. Mise à niveau de Tivoli Identity Manager 4.3 vers Tivoli Identity Manager 4.5, puis 4.5.1
143
144
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1 La présente section décrit la mise à niveau de Tivoli Identity Manager version 4.4.x vers Tivoli Identity Manager version 4.5, puis 4.5.1. Cette section contient des informations détaillées pour les configurations Tivoli Identity Manager en clusters ou à serveur unique. Le processus de mise à niveau de Tivoli Identity Manager comprend les opérations suivantes : v Mise à niveau des logiciels prérequis. Vous devez mettre à niveau et configurer tous les logiciels faisant partie de l’environnement Tivoli Identity Manager existant, afin de répondre aux exigences de la nouvelle version de Tivoli Identity Manager. Il s’agit notamment de la migration ou de la mise à jour des bases de données et des serveurs d’annuaires. v Installation de la version 4.5 de Tivoli Identity Manager à l’aide du programme d’installation de Tivoli Identity Manager. Ce dernier permet la mise à niveau des tables de base de données, du schéma de serveur d’annuaires et des fichiers de propriétés, à des fins d’utilisation avec la nouvelle version de Tivoli Identity Manager. v Une fois que vous avez terminé la procédure précédente qui permet de migrer vers Tivoli Identity Manager version 4.5, utilisation de l’image d’installation de Tivoli Identity Manager version 4.5.1 pour migrer Tivoli Identity Manager version 4.5 vers la version 4.5.1. Pour plus d’informations, voir Annexe F, «Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1», à la page 155. Remarques : 1. Dans les instructions de mise à niveau fournies dans cette section, on part du principe que vous installez et configurez une nouvelle installation de WebSphere Application Server version 5.0 de sorte qu’elle cohabite avec WebSphere Application Server version 4.0. Dans un environnement où deux installations WebSphere Application Server cohabitent, assurez-vous que la valeur de com.ibm.ws.scripting.port dans WAS_HOME/properties/wsadmin.properties correspond au port indiqué par SOAP_CONNECTOR_ADDRESS de serveur1 dans : WAS_HOME/config/cells//nodes//serverindex.xml
Sans la valeur correspondante, le déploiement de Tivoli Identity Manager et la configuration de Tivoli Identity Manager/WebSphere Application Server échouent. Si vous ne souhaitez pas conserver l’installation de WebSphere Application Server version 4.0, vous devez le désinstaller à l’aide du programme de désinstallation de WebSphere Application Server version 4.0. 2. Pour installer WebSphere Application Server version 5.0 à l’aide du programme d’installation de Tivoli Identity Manager version 4.5, vous devez désinstaller les produits suivants : v WebSphere Application Server4.0 v IBM MQSeries v Module de support IBM MQSeries MA88 3. A la suite de la mise à niveau, il se peut que les données d’audit et de journal précédentes ne soient pas applicables aux nouvelles données. © Copyright IBM Corp. 2004
145
Avant de commencer Avant la mise à niveau de Tivoli Identity Manager version 4.4.x vers Tivoli Identity Manager version 4.5, procédez comme suit : 1. Sauvegardez tous les paramètres de configuration WebSphere Application Server, notamment les paramètres relatifs à Tivoli Identity Manager 4.4.x. Ces fichiers se trouvent dans WAS_HOME/config. 2. Sauvegardez toutes les informations Tivoli Identity Manager en cours, notamment les fichiers de propriétés et les paramètres de configuration. Ces fichiers se trouvent dans ITIM_HOME/data . 3. Sauvegardez le serveur d’annuaires. Consultez la documentation appropriée de votre produit. 4. Sauvegardez la base de données. Consultez la documentation appropriée de votre produit. 5. Assurez-vous que votre environnement d’installation répond ou est supérieur à la configuration de Tivoli Identity Manager version 4.5. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. 6. Mettez à niveau le serveur d’annuaires et le logiciel de base de données en fonction des exigences d’installation de Tivoli Identity Manager version 4.5. Pour plus de détails, reportez-vous au document IBM Tivoli Identity Manager Release Notes. 7. Vérifiez que le serveur de la base de données est actif. Si vous utilisez Oracle comme base de données Tivoli Identity Manager, connectez-vous à SQLPlus à l’aide d’un compte permettant d’affecter des droits à l’utilisateur ″enrole″. Généralement, l’utilisateur Oracle ″system″ l’y autorise. Connectez-vous par exemple de la manière suivante : sqlplus system/motdepasse@itim_db_instance
Affectez à l’utilisateur ″enrole″ les droits ″Create any procedure″. Entrez la commande suivante : SQL> GRANT CREATE ANY PROCEDURE to enrole;
Quittez la session. Entrez la commande suivante : SQL> quit;
8. Avant d’effectuer la mise à niveau, vérifiez que tous les éléments de la file d’attente de l’interface graphique de Tivoli Identity Manager sont libérés et que tous les événements planifiés récurrents tels que les rapprochements sont supprimés. La conservation du workflow n’est pas prise en charge lors de la mise à niveau de Tivoli Identity Manager version 4.4 vers Tivoli Identity Manager version 4.5. Avant une mise à niveau, si vous ne vérifiez pas que le moteur de workflow est bien inactif, des exceptions peuvent être générées lorsque Tivoli Identity Manager tente de lire des événements récurrents ou en attente créés au cours d’une installation précédente. Avant d’effectuer une mise à niveau, arrêtez Tivoli Identity Manager (mais pas WebSphere) après vous être assuré que les files d’attente de Tivoli Identity Manager étaient vides. Un moyen rapide de vérifier si le moteur de workflow de Tivoli Identity Manager est inactif consiste à vérifier le nombre de messages des files d’attente du workflow (workflow et workflow en attente). WebSphere MQ contient l’utilitaire runmqsc.exe qui prend en charge l’interrogation et la gestion des files d’attente. Cet utilitaire se trouve dans le répertoire par défaut WebsphereMQ_HOME\bin. Utilisez le programme
146
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
runmqsc.exe pour vous connecter au gestionnaire de files d’attente de Websphere et utilisez la commande display pour afficher le statut des files d’attente. Vous trouverez ci-après une liste des files d’attente de Tivoli Identity Manager. v itim_wf, la file d’attente du workflow v itim_wf_pending, la file d’attente en attente du workflow v itim_rs, la file d’attente des services éloignés v itim_ms, la file d’attente des services de messagerie v itim_adhocSync, la file d’attente des services de rapport personnalisé Supposons par exemple que WebSphere MQ est déployé sur le noeud ″A″ et que le serveur s’intitule ″serveur1″. La commande suivante permet de se connecter au gestionnaire JMS déployé sur ce noeud et ce serveur : runmqsc WAS_A_serveur1
La commande suivante permet d’afficher le statut de la file d’attente de workflow de Tivoli Identity Manager : display qlocal(’WQ_itim_wf’)
Dans la sortie qui en résulte, l’attribut CURDEPTH affiche le nombre de messages de la file d’attente. Si les files d’attente itim_wf et itim_wf_pending sont toutes deux vides, il est fort probable que le moteur de workflow de Tivoli Identity Manager soit inactif. Par exemple : AMQ8409: Affiche les détails de la file d’attente. DESCR(WebSphere Application Server queue - do not delete) PROCESS( ) BOQNAME(SYSTEM.DEAD.LETTER.QUEUE) . . . IPPROCS(10) OPPROCS(0) CURDEPTH(0)
9. Préparez votre environnement WebSphere Application Server. Voir «Préparation de l’installation de WebSphere Application Server» à la page 115. 10. Arrêtez le cluster, le cas échéant.
Mise à niveau d’une configuration à serveur unique La présente section contient les procédures permettant la mise à niveau d’une configuration à serveur unique Tivoli Identity Manager. Suivez les procédures ci-dessous qui sont réparties en plusieurs groupes de tâches : 1. Installation de WebSphere Application Server base 5.0. Pour plus de détails sur les procédures, voir «Installation de la version de base sur chaque noeud» à la page 123. Ignorez toutes les informations relatives à Network Deployment Manager ou spécifiques à un cluster. 2. Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5. Pour plus de détails sur les procédures, voir «Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5» à la page 148.
Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1
147
Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 La présente section contient les procédures permettant la mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5. 1. Démarrez le programme d’installation de Tivoli Identity Manager : v AIX : instAIX-WAS.bin v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. 2. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. 3. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. La fenêtre Choisissez le type d’installation s’affiche. 4. Sélectionnez Serveur unique et cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 5. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.4.x. 6. Cliquez sur Suivant. La boîte de dialogue Voulez-vous mettre à jour de la version 4.4 vers la version 4.5 ? apparaît. 7. Sélectionnez Oui. Une boîte de dialogue de confirmation de l’emplacement de WebSphere s’affiche. 8. Confirmez l’emplacement du répertoire principal WebSphere, puis cliquez sur Suivant. Une boîte de dialogue relative à la sécurité WebSphere apparaît. 9. Vérifiez si la sécurité globale WebSphere est active sur le système. Si elle est activée, cliquez sur Sécurité WebSphere activée. Dans le cas contraire, sélectionnez Sécurité WebSphere désactivée. Si vous choisissez Sécurité WebSphere activée et que vous cliquez sur Suivant, une autre fenêtre apparaît dans laquelle vous devez indiquer l’ID utilisateur et le mot de passe de WebSphere Application Server. Pour plus d’informations, voir Annexe C, «Remarques sur la sécurité», à la page 129. La boîte de dialogue Résumé de pré-installation s’affiche. 10. Cliquez sur Installer. Plusieurs boîtes de dialogues apparaissent : v Mise à niveau de LDAP terminée v Mise à niveau de la base de données terminée v Utilitaire de configuration système 11. Cliquez sur OK et terminez l’installation. Remarques : 1. Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
148
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
2. Si un message d’erreur est émis lors de l’installation concernant le fichier enrole.ear, cela signifie que Network Deployment Manager ne peut pas se connecter au port SOAP. Assurez-vous que le port configuré pour SOAP est celui configuré lors de l’installation de WebSphere 5.0. Dans un environnement où deux installations WebSphere Application Server cohabitent, assurez-vous que la valeur de com.ibm.ws.scripting.port dans WAS_HOME/properties/wsadmin.properties correspond au port indiqué par SOAP_CONNECTOR_ADDRESS de serveur1 dans : WAS_HOME/config/cells//nodes//serverindex.xml
Sans la valeur correspondante, le déploiement de Tivoli Identity Manager et la configuration de Tivoli Identity Manager/WebSphere Application Server échouent.
Mise à niveau d’une configuration en clusters La présente section contient les procédures permettant la mise à niveau d’une configuration en clusters Tivoli Identity Manager. Ces procédures sont réparties en plusieurs groupes de tâches : 1. Installation et configuration des composants WebSphere pour une configuration en clusters : a. Installation de WebSphere Application Server Network Deployment. Pour plus de détails sur les procédures, voir «Installation de WebSphere Application Server Network Deployment» à la page 120. b. Installation d’IBM HTTP Server et des composants de plug-in Web. Pour plus de détails sur les procédures, voir «Installation d’IBM HTTP Server et du plug-in du serveur WebSphere» à la page 122. c. Installation de WebSphere Application Server base 5.0 sur un serveur secondaire. Pour plus de détails sur les procédures, voir «Installation de la version de base sur chaque noeud» à la page 123. d. Configuration de l’environnement à clusters. Pour plus d’informations, voir «Configuration des clusters Tivoli Identity Manager» à la page 120. 2. Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système de Network Deployment Manager. Pour plus de détails sur les procédures, voir «Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système de Network Deployment Manager». 3. Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système de noeud membre. Pour plus de détails sur les procédures, voir «Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système membre» à la page 151.
Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système de Network Deployment Manager La présente section contient les procédures de mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 sur le système hébergeant Network Deployment Manager. Remarque : WebSphere Application Server Network Deployment 5.0 peut être chargé sur le serveur principal ou secondaire de Tivoli Identity Manager 4.4.x. 1. Démarrez le programme d’installation de Tivoli Identity Manager sur le poste du Network Deployment Manager : v AIX : instAIX-WAS.bin v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1
149
2. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. 3. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. La fenêtre Choisissez le type d’installation s’affiche. 4. Sélectionnez Cluster et cliquez sur Suivant. La fenêtre Informations importantes s’affiche. 5. Cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 6. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.4.x. 7. Cliquez sur Suivant. La boîte de dialogue Voulez-vous mettre à jour de la version 4.4 vers la version 4.5 ? apparaît. 8. Sélectionnez Oui. La fenêtre Choisissez le type de cluster. 9. Sélectionnez Network Deployment Manager pour le type de noeud et cliquez sur Suivant. Une boîte de dialogue de confirmation de l’emplacement de WebSphere s’affiche. 10. Confirmez l’emplacement du répertoire principal WebSphere, puis cliquez sur Suivant. Une boîte de dialogue relative au nom du cluster apparaît. 11. Indiquez le nom du cluster créé dans Network Deployment Manager. 12. Cliquez sur Suivant. Une boîte de dialogue relative à la sécurité WebSphere apparaît. 13. Vérifiez si la sécurité globale WebSphere est active sur le système. Si elle est activée, cliquez sur Sécurité WebSphere activée. Dans le cas contraire, sélectionnez Sécurité WebSphere désactivée. Si vous choisissez Sécurité WebSphere activée et que vous cliquez sur Suivant, une autre fenêtre apparaît dans laquelle vous devez indiquer l’ID utilisateur et le mot de passe de WebSphere Application Server. Pour plus d’informations, voir Annexe C, «Remarques sur la sécurité», à la page 129. La boîte de dialogue Résumé de pré-installation s’affiche. 14. Cliquez sur Installer. Plusieurs boîtes de dialogues apparaissent : v Mise à niveau de LDAP terminée v Mise à niveau de la base de données terminée v Utilitaire de configuration système Remarque : Si un message d’erreur est émis lors de l’installation concernant le fichier enrole.ear, cela signifie que Network Deployment Manager ne peut pas se connecter au port SOAP. Assurez-vous que le port configuré pour SOAP est celui configuré lors de l’installation de WebSphere 5.0. Dans un environnement où deux installations WebSphere Application Server cohabitent, assurez-vous que la valeur de com.ibm.ws.scripting.port dans
150
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
WAS_HOME/properties/wsadmin.properties correspond au port indiqué par SOAP_CONNECTOR_ADDRESS de serveur1 dans : WAS_HOME/config/cells//nodes//serverindex.xml
Sans la valeur correspondante, le déploiement de Tivoli Identity Manager et la configuration de Tivoli Identity Manager/WebSphere Application Server échouent. La boîte de dialogue de l’outil de configuration système apparaît. 15. Cliquez sur OK et terminez l’installation. Remarque : Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
Mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 pour le système membre La présente section contient les procédures de mise à niveau de Tivoli Identity Manager 4.4.x vers 4.5 sur le système membre du cluster. Remarque : WebSphere Application Server Network Deployment 5.0 peut être chargé sur le serveur principal ou secondaire de Tivoli Identity Manager 4.4.x. 1. Démarrez le programme d’installation de Tivoli Identity Manager sur le poste du noeud membre : v AIX : instAIX-WAS.bin v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. 2. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. 3. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. 4. Cliquez sur Suivant. La fenêtre Choisissez le type d’installation s’affiche. 5. Sélectionnez Cluster et cliquez sur Suivant. La fenêtre Informations importantes s’affiche. 6. Cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 7. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.4.x. 8. Cliquez sur Suivant. La boîte de dialogue Voulez-vous mettre à jour de la version 4.4 vers la version 4.5 ? apparaît. 9. Sélectionnez Oui. La fenêtre Choisissez le type de cluster.
Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1
151
10. Sélectionnez le membre de cluster pour le type de noeud et cliquez sur Suivant. Une boîte de dialogue de confirmation de l’emplacement de WebSphere s’affiche. 11. Confirmez l’emplacement du répertoire principal WebSphere, puis cliquez sur Suivant. Une boîte de dialogue relative au nom du cluster apparaît. 12. Indiquez le nom du cluster créé dans Network Deployment Manager. 13. Cliquez sur Suivant. Une boîte de dialogue relative à la sécurité WebSphere apparaît. 14. Vérifiez si la sécurité globale WebSphere est active sur le système. Si elle est activée, cliquez sur Sécurité WebSphere activée. Dans le cas contraire, sélectionnez Sécurité WebSphere désactivée. Si vous choisissez Sécurité WebSphere activée et que vous cliquez sur Suivant, une autre fenêtre apparaît dans laquelle vous devez indiquer l’ID utilisateur et le mot de passe de WebSphere Application Server. Pour plus d’informations, voir Annexe C, «Remarques sur la sécurité», à la page 129. La boîte de dialogue Résumé de pré-installation s’affiche. 15. Cliquez sur Installer. Remarque : Si un message d’erreur est émis lors de l’installation concernant le fichier enrole.ear, cela signifie que Network Deployment Manager ne peut pas se connecter au port SOAP. Assurez-vous que le port configuré pour SOAP est celui configuré lors de l’installation de WebSphere 5.0. Dans un environnement où deux installations WebSphere Application Server cohabitent, assurez-vous que la valeur de com.ibm.ws.scripting.port dans WAS_HOME/properties/wsadmin.properties correspond au port indiqué par SOAP_CONNECTOR_ADDRESS de serveur1 dans : WAS_HOME/config/cells//nodes//serverindex.xml
Sans la valeur correspondante, le déploiement de Tivoli Identity Manager et la configuration de Tivoli Identity Manager/WebSphere Application Server échouent. La boîte de dialogue de l’outil de configuration système apparaît. 16. Cliquez sur OK et terminez l’installation. Remarque : Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
152
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Mise à niveau de la version 4.5 vers la version 4.5.1 Une fois que vous avez terminé la procédure précédente qui met à niveau et configure Tivoli Identity Manager version 4.5, utilisez l’image d’installation de Tivoli Identity Manager version 4.5.1 pour migrer Tivoli Identity Manager version 4.5 vers la version 4.5.1. Pour plus d’informations, voir Annexe F, «Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1», à la page 155.
Annexe E. Mise à niveau de Tivoli Identity Manager version 4.4.x vers 4.5, puis 4.5.1
153
154
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe F. Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1 La présente section décrit la mise à niveau de Tivoli Identity Manager version 4.5 vers Tivoli Identity Manager version 4.5.1. Cette section contient des informations détaillées pour les configurations Tivoli Identity Manager en clusters ou à serveur unique. Remarque : Une fois la mise à niveau effectuée, le serveur Tivoli Identity Manager continue d’utiliser la base de données et le serveur d’annuaires existants.
Avant de commencer Avant la mise à niveau de Tivoli Identity Manager version 4.5 vers Tivoli Identity Manager version 4.5.1, procédez comme suit : 1. Sauvegardez tous les paramètres de configuration de WebSphere Application Server, y compris les paramètres de Tivoli Identity Manager 4.5. Ces fichiers se trouvent dans WAS_HOME/config. 2. Sauvegardez toutes les informations Tivoli Identity Manager en cours, notamment les fichiers de propriétés et les paramètres de configuration. Ces fichiers se trouvent dans ITIM_HOME/data. 3. Sauvegardez le serveur d’annuaires. Consultez la documentation appropriée de votre produit. 4. Sauvegardez la base de données. Consultez la documentation appropriée de votre produit. 5. Avant d’effectuer la mise à niveau, vérifiez qu’aucune tâche du moteur de workflow de Tivoli Identity Manager (pour le rapprochement, l’alimentation des données, la mise en application des règles ou toute autre tâche d’attribution des accès) n’est en cours d’exécution. Avant une mise à niveau, si vous ne vérifiez pas que le moteur de workflow est bien inactif, des exceptions peuvent être générées lorsque Tivoli Identity Manager tente de lire des événements récurrents ou en attente créés au cours d’une installation précédente. Avant d’effectuer une mise à niveau, arrêtez Tivoli Identity Manager (mais pas WebSphere) après vous être assuré que les files d’attente de Tivoli Identity Manager étaient vides. Un moyen rapide de vérifier si le moteur de workflow de Tivoli Identity Manager est inactif consiste à vérifier le nombre de messages des files d’attente du workflow (workflow et workflow en attente). WebSphere MQ contient l’utilitaire runmqsc.exe qui prend en charge l’interrogation et la gestion des files d’attente. Cet utilitaire se trouve dans le répertoire par défaut WebsphereMQ_HOME\bin. Utilisez le programme runmqsc.exe pour vous connecter au gestionnaire de files d’attente de Websphere et utilisez la commande display pour afficher le statut des files d’attente. Vous trouverez ci-après une liste des files d’attente de Tivoli Identity Manager. v itim_wf, la file d’attente du workflow v itim_wf_pending, la file d’attente en attente du workflow v itim_rs, la file d’attente des services éloignés © Copyright IBM Corp. 2004
155
v itim_ms, la file d’attente des services de messagerie v itim_adhocSync, la file d’attente des services de rapport personnalisé Supposons par exemple que WebSphere MQ est déployé sur le noeud ″A″ et que le serveur s’intitule ″serveur1″. La commande suivante permet de se connecter au gestionnaire JMS déployé sur ce noeud et ce serveur : runmqsc WAS_A_serveur1
La commande suivante permet d’afficher le statut de la file d’attente de workflow de Tivoli Identity Manager : display qlocal(’WQ_itim_wf’)
Dans la sortie qui en résulte, l’attribut CURDEPTH affiche le nombre de messages de la file d’attente. Si les files d’attente itim_wf et itim_wf_pending sont toutes deux vides, il est fort probable que le moteur de workflow de Tivoli Identity Manager soit inactif. Par exemple : AMQ8409: Affiche les détails de la file d’attente. DESCR(WebSphere Application Server queue - do not delete) PROCESS( ) BOQNAME(SYSTEM.DEAD.LETTER.QUEUE) . . . IPPROCS(10) OPPROCS(0) CURDEPTH(0)
6. Arrêtez le cluster, le cas échéant.
Mise à niveau d’une configuration à serveur unique La présente section inclut les procédures ci-après pour la migration de Tivoli Identity Manager 4.5 vers 4.5.1 dans une configuration à un serveur. Procédez comme suit : 1. Démarrez le programme d’installation de Tivoli Identity Manager : v AIX : instAIX-WAS.bin v HP-UX : instHPUX-WAS.bin v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. 2. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. 3. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. La fenêtre Choisissez le type d’installation s’affiche. 4. Sélectionnez Serveur unique et cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. 5. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.5. 6. Cliquez sur Suivant. La boîte de dialogue Voulez-vous mettre à jour de la version 4.5 vers la version 4.5.1? apparaît. 7. Sélectionnez Oui. La boîte de dialogue Résumé de pré-installation s’affiche. 8. Cliquez sur Installer. Plusieurs boîtes de dialogues apparaissent : v Mise à niveau de LDAP terminée
156
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
v Mise à niveau de la base de données terminée v Utilitaire de configuration système 9. Cliquez sur OK et terminez l’installation. Remarque : Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
Mise à niveau d’une configuration en clusters La présente section contient les procédures permettant la mise à niveau d’une configuration en clusters Tivoli Identity Manager. Ces procédures sont réparties en plusieurs groupes de tâches : 1. Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système Network Deployment Manager. Pour plus de détails sur les procédures, voir «Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système Network Deployment Manager». 2. Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système du noeud membre. Pour plus de détails sur les procédures, voir «Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système membre» à la page 158.
Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système Network Deployment Manager La présente section contient les procédures de mise à niveau de Tivoli Identity Manager 4.5 vers 4.5.1 sur le système hébergeant Network Deployment Manager. Procédez comme suit : 1. Démarrez le programme d’installation de Tivoli Identity Manager sur le poste du Network Deployment Manager : v AIX : instAIX-WAS.bin v HP-UX : instHPUX-WAS.bin v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. 2. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. 3. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. 4. 5. 6. 7.
La fenêtre Choisissez le type d’installation s’affiche. Sélectionnez Cluster et cliquez sur Suivant. La fenêtre Informations importantes s’affiche. Cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.5. Cliquez sur Suivant.
Annexe F. Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1
157
La boîte de dialogue Voulez-vous mettre à jour de la version 4.5 vers la version 4.5.1? apparaît. 8. Sélectionnez Oui. La boîte de dialogue Résumé de pré-installation s’affiche. 9. Cliquez sur Installer. Plusieurs boîtes de dialogues apparaissent : v Mise à niveau de LDAP terminée v Mise à niveau de la base de données terminée v Utilitaire de configuration système La boîte de dialogue de l’outil de configuration système apparaît. 10. Cliquez sur OK et terminez l’installation. Remarque : Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
Migration de Tivoli Identity Manager 4.5 vers 4.5.1 pour le système membre La présente section contient les procédures de mise à niveau de Tivoli Identity Manager 4.5 vers 4.5.1 sur le système membre du cluster. Procédez comme suit : 1. Démarrez le programme d’installation de Tivoli Identity Manager sur le poste du noeud membre : v AIX : instAIX-WAS.bin v HP-UX : instHPUX-WAS.bin
2. 3. 4. 5. 6. 7. 8.
9.
158
v Solaris : instSOL-WAS.bin La fenêtre de bienvenue s’affiche. Sélectionnez la langue appropriée et cliquez sur OK. La fenêtre Contrat de licence s’affiche. Prenez connaissance du contrat du licence et indiquez si vous acceptez les conditions. Si tel est le cas, sélectionnez Accepter et cliquez sur Suivant. Cliquez sur Suivant. La fenêtre Choisissez le type d’installation s’affiche. Sélectionnez Cluster et cliquez sur Suivant. La fenêtre Informations importantes s’affiche. Cliquez sur Suivant. La fenêtre Choisissez le répertoire d’installation s’affiche. Cliquez sur Choisir et sélectionnez le répertoire de base de Tivoli Identity Manager 4.5. Cliquez sur Suivant. La boîte de dialogue Voulez-vous mettre à jour de la version 4.5 vers la version 4.5.1? apparaît. Sélectionnez Oui. La boîte de dialogue Résumé de pré-installation s’affiche.
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
10. Cliquez sur Installer. La boîte de dialogue de l’outil de configuration système apparaît. 11. Cliquez sur OK et terminez l’installation. Remarque : Le processus de mise à niveau doit extraire des informations relatives au pointeur de serveur LDAP et à la base de données qui ont précédemment été configurés. Si vous ne parvenez pas à vous connecter à ces ressources, vous pouvez utiliser l’outil de configuration système pour reconfigurer les propriétés de connexion de ces systèmes. Pour plus d’informations sur l’outil de configuration système, reportez-vous au document IBM Tivoli Identity Manager Configuration Guide.
Annexe F. Mise à niveau de Tivoli Identity Manager version 4.5 vers 4.5.1
159
160
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe G. Désinstallation de Tivoli Identity Manager Le processus de désinstallation de Tivoli Identity Manager désinstalle les éléments suivants : v Tivoli Identity Manager, y compris tous les fichiers ITIM_HOME copiés vers un système cible lors de l’installation de Tivoli Identity Manager v Paramètres de configuration et d’application créés pour Tivoli Identity Manager sur WebSphere Application Server Le programme de désinstallation de Tivoli Identity Manager ne modifie pas les tables de base de données existantes ou le schéma du serveur d’annuaires. Il supprime l’application Tivoli Identity Manager de WebSphere Application Server. Pour désinstaller d’autres produits qui ont peut-être été installés lors de l’installation de Tivoli Identity Manager, par exemple, WebSphere Application Server ou IBM HTTP Server, consultez la documentation appropriée du produit. Remarque : Si vous installez Tivoli Identity Manager à partir d’une configuration en clusters, retirez d’abord Tivoli Identity Manager de tous les membres de cluster, puis supprimez Tivoli Identity Manager de l’ordinateur sur lequel Network Deployment Manager est installé.
Avant de commencer Pour sauvegarder les informations de configuration Tivoli Identity Manager dans WebSphere, sauvegardez les fichiers de configuration WebSphere avant de désinstaller Tivoli Identity Manager. 1. Démarrez WebSphere Application Server. Pour plus de détails sur le démarrage de ce serveur, consultez la documentation fournie par WebSphere Application Server. 2. Pour créer un fichier de sauvegarde, exécutez la commande suivante sur l’ordinateur qui héberge WebSphere Application Server : WAS_HOME/bin/backupConfig.sh
Cette commande crée un fichier zip, tel que WebSphereConfig_2003–07–10.zip, qui contient tous les paramètres de configuration Tivoli Identity Manager en cours. Ce fichier est créé dans le répertoire à partir duquel vous lancez la commande backupConfig. Remarque : Pour restaurer les paramètres de configuration, exécutez la commande suivante : WAS_HOME/bin/restoreConfig.sh WebSphereConfig_datevalue.zip
Remarques : 1. Si vous désinstallez Tivoli Identity Manager à partir d’une configuration en clusters, assurez-vous que Network Deployment Manager est en cours d’exécution. En outre, avant de lancer le processus de désinstallation, vous devez vérifier que l’agent du noeud est en cours d’exécution sur le système, de manière à gérer les communications entre le serveur d’applications et Network Deployment Manager. 2. Des incidents risquent de se produire lors de la désinstallation de Tivoli Identity Manager à partir de Network Deployment Manager si une copie locale © Copyright IBM Corp. 2004
161
de JVM 1.3 ou une installation locale de WebSphere Application Server base ne réside pas sur le système. Dans ce cas, vous pouvez installer une copie locale de JVM 1.3 ou mettre à jour la définition JVM du fichier LAX /itimUninstallerData/Uninstall_ITIM.lax. Remplacez la ligne suivante : lax.nl.current.vm=/java/bin/java par lax.nl.current.vm=was_ndm_home/java/bin/java 3. Si vous effectuez une désinstallation à distance, ouvrez une session Telnet sur la machine sur laquelle Tivoli Identity Manager est installé, puis exportez l’écran éloigné vers la machine locale : # xhost + # telnet nom d’hôte complet ou adresse IP # export DISPLAY=nom d’hôte complet ou adresse IP:0.0
Procédure de désinstallation de Tivoli Identity Manager Pour désinstaller Tivoli Identity Manager, procédez comme suit : 1. Désinstallez l’application Tivoli Identity Manager en exécutant la commande suivante sur l’ordinateur sur lequel Tivoli Identity Manager est installé : ITIM_HOME/itimUninstallerData/Uninstall_ITIM
2. Accédez aux écrans de l’assistant de désinstallation pour confirmer la désinstallation de Tivoli Identity Manager. 3. Une fois la désinstallation terminée, supprimez de votre système de fichiers tous les répertoires, fichiers de configuration et fichiers journaux résiduels de Tivoli Identity Manager. Le programme de désinstallation de Tivoli Identity Manager supprime également l’application Tivoli Identity Manager déployée dans WebSphere Application Server. Pour vérifier que Tivoli Identity Manager a été désinstallé et supprimé en tant qu’application de WebSphere Application Server, procédez comme suit : 1. Lancez la console d’administration WebSphere Application Server et ouvrez une session. 2. Dans l’arborescence de navigation, accédez au noeud cible et cliquez sur le lien Applications d’entreprise situé sous le noeud. La liste des applications d’entreprise installées sur le serveur d’applications apparaît. Si la liste contient une application intitulée enRole, cela signifie que le programme de désinstallation de Tivoli Identity Manager n’a pas pu supprimer automatiquement l’application Tivoli Identity Manager de WebSphere Application Server. Vous pouvez supprimer l’application manuellement. Si l’application enRole est introuvable dans la liste, cela indique que le programme de désinstallation de Tivoli Identity Manager a supprimé l’application Tivoli Identity Manager de WebSphere Application Server. Pour supprimer manuellement Tivoli Identity Manager en tant qu’application de WebSphere Application Server, procédez comme suit : 1. Lancez la console d’administration WebSphere Application Server et ouvrez une session. 2. Dans l’arborescence de navigation, accédez au noeud cible et cliquez sur le lien Applications d’entreprise situé sous le noeud.
162
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
3. 4. 5. 6. 7.
8.
La liste des applications d’entreprise installées sur le serveur d’applications apparaît. Cochez la case située en regard de l’application enRole. Cliquez sur le bouton Arrêter. Une fois l’application enRole arrêtée, cochez la case située en regard de l’application enRole. Cliquez sur le bouton Désinstaller. Vérifiez que le répertoire enrole.ear est supprimé en intégralité de WAS_HOME/AppServer/config/cells/nomserveur/applications WAS_HOME\AppServer\config\cells\nomserveur\applications Supprimez itim.log dans WAS_HOME/AppServer/logs
Remarque : Dans un environnement en clusters, une fois que Tivoli Identity Manager est supprimé de Network Deployment Manager, Tivoli Identity Manager n’est plus accessible au cluster. Vous pouvez supprimer Tivoli Identity Manager d’un membre de cluster individuel en suivant les instructions répertoriées ci-dessus pour la désinstallation manuelle de l’application.
Variable d’environnement WebSphere ORACLE_JDBC_DRIVER_PATH Lorsque la base de données Oracle est sélectionnée lors de l’installation, Tivoli Identity Manager affecte à la variable d’environnement WebSphere Application Server ORACLE_JDBC_DRIVER_PATH la valeur ITIM_HOME/lib, qui correspond au répertoire dans lequel se trouve le fichier classes12.zip. Cette valeur est définie au niveau du noeud de WebSphere Application Server. Le fichier classes12.zip peut être supprimé lors de la désinstallation de Tivoli Identity Manager. Si une autre application utilise cette variable, vous devez redéfinir la valeur de cette variable dans un nouveau répertoire contenant une copie du fichier classes12.zip.
Annexe G. Désinstallation de Tivoli Identity Manager
163
164
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Annexe H. Remarques Le présent document peut contenir des informations ou des références concernant certains produits, logiciels ou services IBM non annoncés dans ce pays. Pour plus de détails, référez-vous aux documents d’annonce disponibles dans votre pays, ou adressez-vous à votre partenaire commercial IBM. Toute référence à un produit, logiciel ou service IBM n’implique pas que seul ce produit, logiciel ou service puisse être utilisé. Tout autre élément fonctionnellement équivalent peut être utilisé, s’il n’enfreint aucun droit d’IBM. Il est de la responsabilité de l’utilisateur d’évaluer et de vérifier lui-même les installations et applications réalisées avec des produits, logiciels ou services non expressément référencés par IBM. IBM peut détenir des brevets ou des demandes de brevet couvrant les produits mentionnés dans le présent document. La remise de ce document ne vous donne aucun droit de licence sur ces brevets ou demandes de brevet. Si vous désirez recevoir des informations concernant l’acquisition de licences, veuillez en faire la demande par écrit à l’adresse suivante : IBM EMEA Director of Licensing IBM Europe Middle-East Africa Tour Descartes La Défense 5 2, avenue Gambetta 92066 - Paris-La Défense CEDEX France Pour le Canada, veuillez adresser votre courrier à : IBM Director of Commercial Relations IBM Canada Ltd. 3600 Steeles Avenue East Markham, Ontario L3R 9Z7 Canada Les informations sur les licences concernant les produits utilisant un jeu de caractères double octet peuvent être obtenues par écrit à l’adresse suivante : IBM World Trade Asia Corporation Licensing 2-31 Roppongi 3-chome, Minato-ku Tokyo 106-0032, Japan Le paragraphe suivant ne s’applique ni au Royaume-Uni, ni dans aucun pays dans lequel il serait contraire aux lois locales. LE PRESENT DOCUMENT EST LIVRE «EN L’ETAT». IBM DECLINE TOUTE RESPONSABILITE, EXPLICITE OU IMPLICITE, RELATIVE AUX INFORMATIONS QUI Y SONT CONTENUES, Y COMPRIS EN CE QUI CONCERNE LES GARANTIES DE VALEUR MARCHANDE OU D’ADAPTATION A VOS BESOINS. Certaines juridictions n’autorisent pas l’exclusion des garanties implicites, auquel cas l’exclusion ci-dessus ne vous sera pas applicable. Le présent document peut contenir des inexactitudes ou des coquilles. Il est mis à jour périodiquement. Chaque nouvelle édition inclut les mises à jour. IBM peut modifier sans préavis les produits et logiciels décrits dans ce document. © Copyright IBM Corp. 2004
165
Les références à des sites Web non IBM sont fournies à titre d’information uniquement et n’impliquent en aucun cas une adhésion aux données qu’ils contiennent. Les éléments figurant sur ces sites Web ne font pas partie des éléments du présent produit IBM et l’utilisation de ces sites relève de votre seule responsabilité. IBM pourra utiliser ou diffuser, de toute manière qu’elle jugera appropriée et sans aucune obligation de sa part, tout ou partie des informations qui lui seront fournies. Les licenciés souhaitant obtenir des informations permettant : (i) l’échange des données entre des logiciels créés de façon indépendante et d’autres logiciels (dont celui-ci), et (ii) l’utilisation mutuelle des données ainsi échangées, doivent adresser leur demande à : IBM Corporation 2ZA4/101 11400 Burnet Road Austin, TX 78758 U.S.A. Ces informations peuvent être soumises à des conditions particulières, prévoyant notamment le paiement d’une redevance. Le logiciel sous licence décrit dans ce document et tous les éléments sous licence disponibles s’y rapportant sont fournis par IBM conformément aux dispositions de l’ICA, des Conditions internationales d’utilisation des logiciels IBM ou de tout autre accord équivalent. Les données de performance indiquées dans ce document ont été déterminées dans un environnement contrôlé. Par conséquent, les résultats peuvent varier de manière significative selon l’environnement d’exploitation utilisé. Certaines mesures évaluées sur des systèmes en cours de développement ne sont pas garanties sur tous les systèmes disponibles. En outre, elles peuvent résulter d’extrapolations. Les résultats peuvent donc varier. Il incombe aux utilisateurs de ce document de vérifier si ces données sont applicables à leur environnement d’exploitation. Les informations concernant des produits non IBM ont été obtenues auprès des fournisseurs de ces produits, par l’intermédiaire d’annonces publiques ou via d’autres sources disponibles. IBM n’a pas testé ces produits et ne peut confirmer l’exactitude de leurs performances ni leur compatibilité. Elle ne peut recevoir aucune réclamation concernant des produits non IBM. Toute question concernant les performances de produits non IBM doit être adressée aux fournisseurs de ces produits.
166
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Marques Les termes qui suivent sont des marques d’International Business Machines Corporation aux Etats-Unis et/ou dans certains autres pays : AIX DB2 IBM IBM logo SecureWay Tivoli Tivoli logo Universal Database WebSphere Lotus est une marque de Lotus Development Corporation et/ou d’IBM Corporation. Domino est une marque d’International Business Machines Corporation et de Lotus Development Corporation aux Etats-Unis et/ou dans certains autres pays. Microsoft, Windows, Windows NT et le logo Windows sont des marques de Microsoft Corporation aux Etats-Unis et/ou dans certains autres pays. UNIX est une marque enregistrée de The Open Group aux Etats-Unis et/ou dans certains autres pays. Java et toutes les marques et logos incluant Java sont des marques de Sun Microsystems, Inc. aux Etats-Unis et/ou dans certains autres pays.
D’autres sociétés sont propriétaires des autres marques, noms de produits ou logos qui pourraient apparaître dans ce document.
Annexe H. Remarques
167
168
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Glossaire A accès : Droit d’utiliser des informations ou des données stockées sur des systèmes informatiques. accréditation : ID et mot de passe d’un utilisateur, permettant l’accès à un compte. action non autorisée : Jeu de paramètres des rapprochements qui définissent l’action à entreprendre si Tivoli Identity Manager Server détecte des comptes pour des utilisateurs non autorisés à posséder un compte pour le service sélectionné. Ces paramètres ne sont valides que si la case Vérifier les règles d’administration est cochée. administrateur de domaine : Administrateur pouvant définir et gérer des entités d’attribution des accès, des règles d’administration, des services, des définitions de flux de travail, des rôles et des utilisateurs dans son propre domaine d’administration. administrateur système : Utilisateurs ayant accès à tous les domaines du système. Un groupe ITIM pré-configuré est fourni dans le système Tivoli Identity Manager. Ce groupe ITIM est conçu pour accorder à ses membres un accès maximal au système. Les utilisateurs membres du groupe d’administrateurs ITIM ont accès à toutes les données et les fonctions du système. alias : Identité d’un utilisateur, généralement appelée ID utilisateur. Un utilisateur peut posséder plusieurs alias (par exemple, GSmith et GWSmith). annuler des accès : Supprimer un service ou un composant. Par exemple, annuler l’accès à un compte signifie la suppression d’un compte d’une ressource. attribuer des accès : Configurer et mettre à jour l’accès d’un utilisateur à un système de l’organisation. authentification : Processus d’identification d’un individu, généralement basé sur un nom d’utilisateur et un mot de passe. Dans les systèmes sécurisés, l’authentification est distincte de l’autorisation (processus de donner aux utilisateurs l’accès aux objets système en fonction de leur identité). L’authentification vérifie simplement que l’individu n’usurpe pas son identité ; elle ne donne aucune indication sur ses droits d’accès. autorisation : En sécurité informatique, droits accordés à un utilisateur pour communiquer avec un ordinateur ou l’utiliser. Processus d’attribution à un utilisateur de droits complets ou restreints à un objet, une ressource ou une fonction. © Copyright IBM Corp. 2004
La plupart des systèmes de sécurité informatique reposent sur un processus en deux étapes. La première est l’authentification, qui vérifie l’identité d’un utilisateur. La seconde est l’autorisation, qui permet à l’utilisateur d’accéder à diverses ressources suivant son identité. autorité de certification (CA) : Organisation qui émet des certificats. L’autorité de certification authentifie l’identité du propriétaire du certificat et les services que le propriétaire peut utiliser, émet de nouveaux certificats, renouvelle les existants et annule les certificats appartenant à des utilisateurs qui ne sont plus autorisés à les utiliser.
B branche : Chaque niveau de l’organigramme est appelé branche. Chaque type de branche de l’organigramme est indiqué à l’aide d’une icône différente. Le contenu d’une branche et de ses sous-unités peut être visualisé en cliquant sur le signe plus (+) situé en regard de la branche.
C certificat numérique : Pièce jointe à un message électronique pour assurer la sécurité de ce dernier. cible de l’ACI : Ensemble d’entités contrôlées par l’ACI. classe d’utilisateur : Classe LDAP telle inetorgperson ou BPPerson. compte : Ensemble de paramètres définissant les informations de connexion et de contrôle d’accès relatives à un utilisateur. compte actif : Compte actuellement utilisé par le propriétaire pour accéder à une ressource. compte inactif : Compte existant dans le système, mais non utilisé par le propriétaire du compte. contrainte : Restriction sur un paramètre ou une règle d’administration.
D délai d’expiration du mot de passe : Durée pendant laquelle un mot de passe peut être utilisé avant que l’utilisateur doive le modifier.
169
délai d’intervention avant escalade : Délai de réponse, en jours, heure, minutes ou secondes d’un participant à une demande avant que l’escalade ait lieu. délégué : Individu désigné comme responsable de l’approbation des demandes et de la communication des informations relatives aux demandes d’un autre utilisateur. demande : Dans le système Tivoli Identity Manager, action demandant une approbation ou des informations.
E entité : 1) Personne ou objet pour lequel des informations sont enregistrées. 2) Une des classes suivantes, telles qu’elles sont référencées par le système Tivoli Identity Manager : v Personne v Utilisateur d’une organisation partenaire v Organisation v Organisation partenaire
demandé : Personne pour laquelle une demande est soumise.
F
demande d’information (RFI) : En matière de gestion d’identité, action demandant des informations complémentaires du participant indiqué et constituant une étape requise dans le workflow.
formulaires électroniques : Un formulaire électronique sert de modèle pour la définition des paramètres de l’accès demandé.
demandes en attente : Demandes soumises au système, mais non terminées. demandes exécutées : Demandes soumises au système et terminées. demandeur : Personne soumettant une demande. directive de jointure : Ensemble de règles définissant la manière dont les attributs sont gérés lors d’un conflit entre au moins deux règles d’attribution des accès. Directory Services Markup Language (DSML) : Implémentation XML offrant un format standard pour la description et le partage des informations sur les services de répertoires entre différents systèmes de répertoires. domaine d’administration : Unité organisationnelle permettant de séparer logiquement les responsabilités organisationnelles et de gérer les droits d’accès. droit de signature : Droit d’approuver ou de refuser une demande soumise au moteur de workflow. Un utilisateur ou un groupe d’utilisateurs reçoit un droit de signature lorsqu’il est désigné comme participant ou responsable de niveau supérieur dans une procédure de workflow. DSML Identity Feed : Un des trois types de service par défaut de Tivoli Identity Manager. Le service DSML Identity Feed importe les données utilisateur stockées dans une base de données ou un fichier et les place dans le répertoire de Tivoli Identity Manager. Le service peut recevoir les informations de deux manières : par rapprochement ou par notification automatique.
G gestion de l’attribution des accès aux ressources (rpm) : Principe de gestion combinant trois éléments principaux (une logique métier, la gestion des workflow et les agents de distribution) nécessaires pour gérer de manière centralisée l’attribution aux utilisateurs des accès aux informations et ressources de l’organisation. groupe ITIM : Groupe d’utilisateurs dans Tivoli Identity Manager Server. L’administration du système et l’accès à ce dernier peuvent être structurés autour de groupes ITIM. Toutefois, pour qu’une personne puisse être affectée à un groupe ITIM, elle doit recevoir un compte ITIM. Une fois le compte ITIM attribué à la personne, cette personne devient un utilisateur ITIM et peut être ajoutée à un groupe ITIM.
H habilitation : En matière de gestion de la sécurité, structure de données, service ou liste d’attributs représentant des informations sur les règles d’administration. HR Feed : Processus automatisé dans lequel le système Tivoli Identity Manager importe des données utilisateur d’un fichier ou d’une base de données de ressources humaines. Reportez-vous à DSML Identity Feed.
I informations personnelles : Informations personnelles d’un utilisateur. Ces informations peuvent inclure le nom, le prénom, l’adresse du domicile, le numéro de téléphone, l’adresse e-mail, le numéro du bureau, le responsable, etc.
170
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
informations sur le contrôle d’accès (ACI) : Données indiquant les droits d’accès d’un groupe ou d’un principal. Voir aussi contrôle d’accès.
origine de l’ACI : Branche de l’arborescence de l’organisation où l’ACI est créé.
interface graphique (UI) : Affichage utilisé par l’utilisateur pour interagir avec le système.
orphelin (comptes orphelins) : Comptes sur une ressource éloignée dont le propriétaire dans le système Tivoli Identity Manager ne peut pas être déterminé.
L
P
liste des tâches : Liste des actions affectées à un utilisateur pour qu’il les exécute.
participant : En matière de gestion d’identité, personne ayant le droit de répondre à une demande qui est soumise via le moteur de workflow. Un participant peut être identifié la forme d’une personne, sous forme de rôles ou à l’aide d’un script JavaScript personnalisé.
M mise en application des attributs : Processus dans lequel les administrateurs système définissent les attributs qui sont requis pour un compte et les valeurs qui sont admises pour ces attributs. mise en application des règles d’administration : Manière dont le système Tivoli Identity Manager accepte ou non les comptes qui ne respectent pas les règles d’application des accès. mot clé : Entrée d’index identifiant la règle d’administration dans une recherche. mot de passe : En sécurité informatique et réseau, chaîne de caractères spécifique saisie par un utilisateur et authentifiée par le système, permettant à l’utilisateur d’accéder au système et aux informations qu’il contient.
N nom d’utilisateur : ID utilisé par l’utilisateur pour accéder au système. Cet ID identifie également l’utilisateur sur le système et permet à ce dernier de déterminer les droits d’accès de l’utilisateur en fonction de l’appartenance de l’utilisateur aux divers rôles d’organisation et groupes ITIM.
O organigramme : Structure hiérarchique de l’organisation fournissant un emplacement logique permettant l’accès à des informations organisationnelles ainsi que la création et le stockage de celles-ci. organisation : En matière de gestion d’identité, ensemble d’utilisateurs et de ressources assez indépendants. Le partage de ressources entre organisations est possible, mais le niveau d’intégration entre les organisations est assez faible. Généralement, une organisation représente une société. organisation partenaire : Classe de personnes autres que des salariés de la société ou de l’organisation, mais pouvant avoir besoin d’accéder aux ressources de la société.
piste d’audit : Enregistrement des transactions d’un système d’ordinateur pendant une période donnée. portée : Période pouvant être affectée par une règle d’administration. En général, la portée est définie comme simple ou comme une sous-arborescence. Dans le premier cas, la règle d’administration n’affecte que les entités de la branche dans laquelle la règle d’administration est définie. Dans le second cas, elle affecte la branche dans laquelle elle est définie et toutes les autres branches qui en dépendent. propriétaire : Personne dans le système Tivoli Identity Manager possédant un compte ou un service. propriétaire des autorisations : Groupe d’utilisateurs pouvant définir des informations sur le contrôle d’accès (ACI) dans le contexte de l’unité d’organisation à laquelle ils appartiennent.
R rapport de rapprochement : Rapport répertoriant les comptes orphelins détectés depuis le dernier rapprochement. rapport refusé : Rapport répertoriant les demandes refusées, par date, demandeur et destinataire. rapport sur les comptes : Rapport répertoriant les utilisateurs et leurs comptes et indiquant si ces comptes sont conformes aux règles d’administration en vigueur. rapport sur les opérations : Rapport répertoriant les demandes relatives aux opérations Tivoli Identity Manager par type d’opération, date, demandeur et destinataire. rapport utilisateur : Rapport répertoriant les opérations Tivoli Identity Manager par date, demandeur et destinataire. rapprochement : En matière de gestion d’identité, processus de synchronisation des comptes et des Glossaire
171
données associées du référentiel de données centralisé avec les comptes et les données associées de la ressource gérée. référentiel de données centralisé : Base de données utilisée pour enregistrer et stocker les données relatives aux utilisateurs et aux droits d’accès, pour tous les utilisateurs enregistrés, y compris les enregistrements des transactions et de la maintenance. règles : Dans Tivoli, jeu de règles appliquées à des ressources gérées. Par exemple, une règle d’administration peut s’appliquer à des mots de passe ou à des ressources auxquelles un utilisateur tente d’accéder. règles d’administration des mots de passe : Règles définissant les paramètres à respecter par les mots de passe (longueur, type de caractères autorisés et interdits, etc.) règles d’attribution des accès : Règles définissant l’accès à divers types de services gérés, par exemple, Tivoli Identity Manager ou systèmes d’exploitation. L’accès est attribué à toutes les personnes ou en fonction du rôle d’organisation d’une personne. L’accès peut également être attribué spécifiquement aux personnes ne faisant partie d’aucun rôle d’organisation. règles de gestion d’identité : Règles suivant lesquelles le système Tivoli Identity Manager définit la manière dont l’ID d’un utilisateur est créé. règles de sélection de service : Filtre JavaScript déterminant le service à utiliser dans une règle d’attribution des accès. réponse à la demande d’authentification : Méthode d’authentification exigeant que les utilisateurs répondent à une invite en fournissant des informations personnelles permettant de vérifier leur identité lors de la connexion au réseau. requête : Manière de restreindre un rapprochement afin de renvoyer des paquets plus petits. responsable de niveau supérieur : En matière de gestion d’identité, personne ayant le droit de répondre aux demandes auxquelles les participants ne répondent pas dans le délai défini par le paramètre Délai d’intervention avant escalade. Un responsable de niveau supérieur peut être identifié la forme d’une personne, sous forme de rôles ou à l’aide d’un script JavaScript personnalisé. ressource : Entité matérielle, logicielle ou de données gérée par des logiciels Tivoli. Voir aussi ressource gérée. restaurer : Réactiver un compte qui a été suspendu.
rôle d’organisation : En matière de gestion d’identité, attribut servant à déterminer l’appartenance aux règles d’administration qui octroient l’accès à diverses ressources gérées. rôle d’organisation statique : Rôle d’organisation ne pouvant être affecté que manuellement.
S secret partagé : Valeur chiffrée utilisée pour extraire le mot de passe initial d’un utilisateur afin d’accéder au système Tivoli Identity Manager. Cette valeur est définie lorsque les informations personnelles de l’utilisateur sont chargées dans le système. service : Programme exécutant une fonction essentielle dans un serveur ou dans un logiciel associé. site : Un des types d’entité affiliée pouvant être ajoutés à une organisation. En général, les sites permettent la séparation logique d’emplacements géographiques pour les opérations de gestion d’organisation. sous-processus : Procédure de workflow lancée dans une autre procédure de workflow. SSL (Secure Socket Layer) : Protocole de transmission de documents privés via Internet. SSL fonctionne à l’aide d’une clé privée permettant de chiffrer les données transmises via une connexion SSL. superviseur : Personne dans le système Tivoli Identity Manager désignée comme propriétaire d’une unité fonctionnelle. suspension : Acte de désactiver un compte pour que son propriétaire ne puisse plus se connecter à la ressource associée.
T Tivoli Identity Manager Agent : Interface intelligente entre le système géré ciblé et Tivoli Identity Manager Server. Elle sert d’administrateur virtuel sécurisé ; c’est un composant primordial qui convertit les demandes des utilisateurs et offre un accès sécurisé aux configurations de divers systèmes cible. Tivoli Identity Manager Server : Logiciel et offre de services conçus pour déployer des solutions d’attribution des accès basées sur des règles d’administration. type de contrôle : Instance de la classe de type Java représentant le type de zone d’une interface utilisateur.
U unité fonctionnelle : Entité affiliée d’une organisation.
172
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
unité organisationnelle : Ensemble d’utilisateurs et de ressources d’une organisation défini pour sous-diviser cette organisation en groupes plus gérables. Les utilisateurs ne sont affectés qu’à une unité organisationnelle. Les ressources sont également affectées à une seule unité organisationnelle, sauf si elles sont définies comme globales dans une organisation. utilisateur : Toute personne en interaction avec le système. utilisateur d’une organisation partenaire : Utilisateur dans une organisation partenaire.
W workflow : Séquence des activités effectuées conformément aux processus métier d’une entreprise.
Glossaire
173
174
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Index Caractères spéciaux ITIM_HOME 131 WAS_HOME 130 ″secret″, mot de passe initial après l’installation de Tivoli Identity Manager 45, 77
base de données (suite) zone (suite) Type de base de données 41, 73 Utilisateur de base de données 41, 73
C Nombres 2809 emplacement de fichier 33 port 33 8880 emplacement de fichier 33 port 33 9043 port 33 9080 port 33 9090 conflit de port avec wsmserver, résolution port 33, 44 9091 port 44 9443 port 33
120
A accès au service de support logiciel xii accès aux documents en ligne xi adduser, commande 115, 117 Adresse IP, zone de base de données 41, 73 agent de noeud vérification de l’exécution 125 WebSphere Application Server 4 applheapsz erreurs de saturation de mémoire, correction 18 exemple, update itimdb 13 audience, à qui s’adresse ce document ix automatique, installation des produits prérequis pour le serveur unique 37 autorité de certification communications serveur-agent 67, 103 types de certificats pris en charge 67, 103
B base de données configuration IBM DB2 11 initiale 55, 91 sélection lors de l’installation 50, 83 zone Adresse IP 41, 73 ID d’administration 41, 73 Mot de passe d’administration 41, 73 Mot de passe utilisateur 41, 73 Nom de base de données 41, 73 Numéro de port 41, 73 © Copyright IBM Corp. 2004
Capacité initiale, zone de pool de base de données 42, 74 Capacité maximale, zone de pool de base de données 42, 74 catalog IBM DB2 database 16 CD-ROM 108 cellule ajout de noeuds 124 WebSphere Application Server 3 certificat d’une autorité de certification configuration requise 67, 103 répertoire ITIM_HOME/cert 67, 103 chiffrement WebSphere Application Server 44, 76 chuser, commande 115 client de base de données, pilote JDBC 15 cluster création avant l’installation de Tivoli Identity Manager 72 création sur la console d’administration de Network Deployment Manager 125 feuille de travail 73 installation configuration supplémentaire 91 installation séquentielle 69 journaux 100 puis redémarrage 101 séquence 79 serveur Tivoli Identity Manager 69 membre configuration supplémentaire 91 remplissage dans le cluster 72 séquence d’installation après Network Deployment Manager 79 WebSphere Application Server 4 organigramme d’installation 78 produits prérequis agents de noeud 70 base de données 70 Network Deployment Manager 70 persistance de session HTTP 101 sécurité globale WebSphere 129 serveur d’annuaires 70 serveurs JMS 70 WebSphere Application Server base 70 WebSphere Application Server 4 commande adduser 115, 117 chuser 115 db2 catalog 16 db2 connect 13 db2 create 13 db2 create bufferpool 13 db2 force application all 13 db2 update 13 db2set 12
175
commande (suite) db2start 13 db2stop 13 groupadd 117 mkgroup 115 mkuser 115 usejdbc2 17 Comptage incrémentiel, zone du serveur d’annuaires 43, 75 configuration base de données 55, 91 IBM DB2 11 IBM DB2 applheapsz 18 création d’utilisateur sur le serveur 13 création d’utilisateur sur un ordinateur du cluster 14 pilote JDBC 15 pool de mémoire tampon 12 serveur 12 IBM Directory Server intégrité référentielle 29 version 4.1 28 Oracle 24 planification 3 présentation 3 serveur d’annuaires 57, 93 Sun ONE Directory Server 34 terminologie 3 Tivoli Identity Manager onglet Base de données 59, 96 onglet Consignation 60, 96 onglet Courrier 61, 97 onglet Général 58, 94 onglet Interface utilisateur 62, 98 onglet Répertoire 59, 94 onglet Sécurité 63, 99 WebSphere Application Server cluster fonctionnel 9 cluster unique 8 serveur unique 5 utilisée avec Tivoli Identity Manager 10 configuration à cluster unique installation 79 WebSphere Application Server 8 configuration en cluster fonctionnel affectation de noms de cluster par niveau (interface utilisateur, WF) 7, 72 WebSphere Application Server 9 configuration requise certificat d’une autorité de certification 67, 103 conventions utilisées dans ce document xii cryptage clé 54, 90
D db2 catalog, commande 16 db2 connect, commande 13 db2 create, commande 13 db2 create bufferpool, commande 13 db2 force application all, commande 13 db2 update, commande 13 db2InstanceHome, IBM DB2 15, 37, 69 db2set, commande 12 db2start, commande 13 db2stop, commande 13 Délai de connexion en secondes, zone de pool de base de données 42, 74
176
désactivation, configuration de la Sécurité J2EE 135 désinstallation Tivoli Identity Manager 161 autres produits 161 étapes 162 sauvegarde des informations de configuration dans WebSphere 161 schéma du serveur d’annuaires 161 tables de base de données 161 détection des produits prérequis IBM HTTP Server 37 support de messagerie intégrée WebSphere 37 WebSphere Application Server 37 documents, bibliothèque Tivoli Identity Manager ix accès aux documents en ligne xi documents connexes xi droits d’accès au fichier, libdelref 29 droits d’administration, à vérifier avant l’installation 38, 70
E enrole ID utilisateur par défaut, base de données 60, 96 utilisateur création sur le serveur IBM DB2 13 création sur un ordinateur du cluster 14 erreur de saturation de mémoire, avec applheapsz 18
F feuille de travail cluster 73 serveur unique
41
G garantie de l’exécution des processus utilisation de runConfig (configuration du système) 100 groupadd, commande 117
65,
I IBM DB2 commande catalog 16 db2 connect 13 db2 create 13 db2 create bufferpool 13 db2 force application all 13 db2 update 13 db2set 12 db2start 13 db2stop 13 usejdbc2 17 configuration 11 applheapsz 18 communications TCP/IP 11 création d’utilisateur sur le serveur 13 création d’utilisateur sur un ordinateur du cluster 14 pilote JDBC 15 pool de mémoire tampon 12 serveur 12 db2InstanceHome 15, 37, 69 erreur de saturation de mémoire, avec applheapsz 18
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
IBM DB2 (suite) NomInstancedb2 12 IBM Directory Server configuration conflits de port avec WebSphere – Express 33 intégrité référentielle 29 version 4.1 28 IBM HTTP Server détection avant installation de Tivoli Identity Manager 37 installation 122 installation automatique, serveur unique 37 mise à niveau 149 persistance de session HTTP 101 Répertoire d’installation, zone 44 ID d’administration, zone de base de données 41, 73 ID utilisateur, zone Tivoli Identity Manager 45, 77 ID utilisateur wasadmin, WebSphere Application Server 76 Identity Manager - Emplacement du nom distinctif, zone du serveur d’annuaires 42, 74 installation IBM HTTP Server 122 journaux cluster 100 serveur unique 64 Oracle AIX 19 HP-UX 22 Solaris 21 Windows 24 redémarrage des clusters 101 sélection d’une base de données 50, 83 séquence cluster 79 configuration supplémentaire 55, 91 serveur unique 47 serveur Tivoli Identity Manager automatique 37 cluster 69 organigramme, cluster 78 organigramme, serveur unique 46 serveur unique 37 WebSphere Application Server base 123 WebSphere Application Server Network Deployment 120 instruction d’accessibilité de la documentation xii intégrité référentielle droits d’accès au fichier libdelref 29 IBM Directory Server 29 timdelref.conf 29 itimadmin ID utilisateur, WebSphere Application Server 76 Utilisateur 44, 133 Utilisateur d’EJB 129, 130, 132
J JDBC connexions, capacité maximale du pool de base de données 42, 74 pilote, client de base de données IBM DB2 15 journaux installation dans une configuration à serveur unique installation dans une configuration en clusters 100
64
L libdelref droits d’accès au fichier 29 intégrité référentielle 29 message d’aboutissement 30, 31 limitation interface utilisateur, membres de cluster WF sur le même ordinateur 10 plusieurs instances de WebSphere Application Server, sur le même ordinateur 10 support de messagerie intégrée WebSphere 120 système d’exploitation homogène 10
M mise à niveau avant de commencer 139, 146, 155 configuration 142 configuration à serveur unique 147, 156 configuration en clusters 149, 157 IBM HTTP Server 149 Tivoli Identity Manager 139, 145, 155 mkgroup, commande 115 mkuser, commande 115 Mot de passe ″secret″, valeur initiale après l’installation 45, 77 zone du serveur d’annuaires 43, 75 zone Tivoli Identity Manager 45, 77 Mot de passe d’administration, zone de base de données 41, 73 Mot de passe utilisateur, zone de base de données 41, 73 mqbrkrs groupe, spécification sous AIX 115 groupe, spécification sous Linux 116 groupe, spécification sous Solaris 116 mqm groupe, spécification sous AIX 115 groupe, spécification sous Linux 116 groupe, spécification sous Solaris 116 utilisateur, spécification sous AIX 115 utilisateur, spécification sous Linux 116 utilisateur, spécification sous Solaris 116
N Network Deployment Manager vérification de l’exécution 125 WebSphere Application Server 3 niveau définition sous forme de sous-ensemble de fonctions 7 interface utilisateur (UI) 7, 72 workflow (WF) 7, 72 niveau d’interface utilisateur, Tivoli Identity Manager 7 niveau de consignation 45, 76 niveau de workflow, Tivoli Identity Manager 7 noeud ajout dans une cellule 124 WebSphere Application Server 3 noeud unique, configuration de la Sécurité J2EE 129 Nom abrégé de l’organisation par défaut, zone du serveur d’annuaires 42, 74 Nom d’hôte, zone du serveur d’annuaires 42, 74 Nom d’hôte de cette station de travail, zone WebSphere Application Server 43 Nom de base de données, zone de base de données 41, 73 Nom de noeud, zone WebSphere Application Server 44 Index
177
Nom de votre organisation, zone du serveur d’annuaires 42, 74 Nom distinctif principal, zone du serveur d’annuaires 43, 75 Nom du cluster, zone WebSphere Application Server 75 Nom du serveur, zone WebSphere Application Server 44 nom du serveur de messagerie 45, 76, 77 Nombre de compartiments de table de hachage, zone du serveur d’annuaires 42, 74 NomInstancedb2, IBM DB2 12 Numéro de port, zone de base de données 41, 73
O onglet Base de données 59, 96 Consignation 60, 96 Courrier 61, 97 Dispositions générales 58, 94 Interface utilisateur 62, 98 Répertoire 59, 94 Sécurité 63, 64, 99, 100 onglet Base de données 59, 96 onglet Consignation 60, 96 onglet Courrier 61, 97 onglet Général 58, 94 onglet Interface utilisateur 62, 98 onglet Répertoire 59, 94 onglet Sécurité 63, 99 Oracle configuration 24 installation AIX 19 HP-UX 22 Solaris 21 Windows 24 organigramme installation dans une configuration à serveur unique installation dans une configuration en clusters 78
46
R
P persistance de session HTTP, pour un cluster 101 plusieurs noeuds, configuration de la Sécurité J2EE 132, 134 pool de base de données Capacité initiale 42, 74 Capacité maximale 42, 74 Délai de connexion en secondes 42, 74 pool de mémoire tampon, création pour IBM DB2 13 pool de mémoire tampon, IBM DB2 12 port 2809 33 8880 33 9043 33 9080 33 9090 33, 44 9090, résolution de conflit avec wsmserver 120 9091 44 9443 33 amorçage/rmi 33 conflits, résolution 33 connecteur SOAP 33 Port zone du serveur d’annuaires 43, 75 zone WebSphere Application Server 44 port d’amorçage/rmi 33 port de connexion SOAP 33
178
produit prérequis cluster agents de noeud 70 base de données 70 Network Deployment Manager 70 persistance de session HTTP 101 serveur d’annuaires 70 serveurs JMS 70 WebSphere Application Server base 70 création clusters 72 détection IBM HTTP Server 37 support de messagerie intégrée WebSphere 37 WebSphere Application Server 37 droits d’accès root 70 feuille de travail cluster 70, 73 serveur unique 41 IBM HTTP Server installation automatique, serveur unique 37 installation automatique, serveur unique 37 serveur unique base de données 38 droits d’administration 70 sécurité globale WebSphere activée ? 38 serveur d’annuaires 38 support de messagerie intégrée WebSphere installation automatique, serveur unique 37 utilisateur root 70 WebSphere Application Server base installation automatique, serveur unique 37 produits prérequis serveur unique droits d’administration 38 publications, bibliothèque Tivoli Identity Manager ix accès aux documents en ligne xi documents connexes xi
répertoire ITIM_HOME/cert, pour le certificat d’une autorité de certification 67, 103 Répertoire d’installation zone IBM HTTP Server 44 zone WebSphere Application Server 43 zone WebSphere Application Server base 75 root droits d’accès 70 utilisateur 70 utilisateur, ajout aux groupes mqm, mqbrkrs sous AIX 115 utilisateur, ajout aux groupes mqm, mqbrkrs sous Linux 116 utilisateur, ajout aux groupes mqm, mqbrkrs sous Solaris 116 runConfig, utilisation pour la configuration du système 65, 100
S sécurité globale configuration 129 détermination de l’état avant installation 38 itimadmin 132 wasadmin 132
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
sécurité globale (suite) WebSphere Application Server paramètres 44, 52, 76, 88 zone Utilisateur d’EJB 44, 76 zone Utilisateur système 44, 76 Sécurité J2EE configuration noeud unique 129 plusieurs noeuds 132, 134 désactivation 135 étapes manuelles 64, 100 séquence configuration supplémentaire 55, 91 installation, cluster 79 installation, serveur unique 47 installation dans les clusters 69 serveur d’annuaires configuration, initiale 57, 93 zone Comptage incrémentiel 43, 75 Identity Manager - Emplacement du nom distinctif 42, 74 Mot de passe 43, 75 Nom abrégé de l’organisation par défaut 42, 74 Nom d’hôte 42, 74 Nom de votre organisation 42, 74 Nom distinctif principal 43, 75 Nombre de compartiments de table de hachage 42, 74 Port 43, 75 Taille initiale du pool 43, 75 Taille maximale du pool 43, 75 serveur d’applications, WebSphere Application Server 3 serveur HTTP configuration hors de la cellule 136 serveur JMS support de messagerie intégrée WebSphere 10 serveur Tivoli Identity Manager certificat d’une autorité de certification 67, 103 installation automatique 37 cluster 69 organigramme, cluster 78 organigramme, serveur unique 46 serveur unique 37 test de communication 65, 102 serveur unique configuration installation 37 WebSphere Application Server 5 feuille de travail 41 installation configuration supplémentaire 55 journaux 64 séquence 47 serveur Tivoli Identity Manager 37 organigramme d’installation 46 produits prérequis base de données 38 droits d’administration 38, 70 sécurité globale WebSphere activée ? 38 serveur d’annuaires 38 serveurs installation automatique, serveur unique 37 installation manuelle, cluster 115 service de support logiciel, accès xii Sun ONE Directory Server configuration 34
support de messagerie intégrée WebSphere détection avant installation de Tivoli Identity Manager 37 et WebSphere MQ 10 installation automatique, serveur unique 37 processus 10 spécification d’un utilisateur et de groupes, sous Linux 116 spécification d’un utilisateur et des groupes, sous AIX 115 spécification d’un utilisateur et des groupes, sous Solaris 116 WebSphere MQ préexistant 120 support logiciel, accès au service xii
T Taille initiale du pool, zone du serveur d’annuaires 43, 75 Taille maximale du pool, zone du serveur d’annuaires 43, 75 TCP/IP, configuration, IBM DB2 11 terminologie agent de noeud 4 cellule 3 cluster 4 interface utilisateur (UI) 7 jmsserver 10 membre de cluster 4 Network Deployment Manager 3 noeud 3 plug-in du serveur Web WebSphere 4 serveur d’applications 3 support de messagerie intégrée WebSphere 10 WebSphere Application Server 3 workflow (WF) 7 timdelref.conf 29 Tivoli Identity Manager configuration limites à l’aide de WebSphere Application Server 10 onglet Base de données 59, 96 onglet Consignation 60, 96 onglet Courrier 61, 97 onglet Général 58, 94 onglet Interface utilisateur 62, 98 onglet Répertoire 59, 94 onglet Sécurité 63, 99 désinstallation 161 autres produits 161 étapes 162 sauvegarde des informations de configuration dans WebSphere 161 schéma du serveur d’annuaires 161 tables de base de données 161 terminologie interface utilisateur (UI) 7 workflow (WF) 7 zone ID utilisateur 45, 77 Mot de passe 45, 77 Type de base de données, zone de base de données 41, 73
U usejdbc2, commande 17 Utilisateur de base de données, zone de base de données 73 utilitaire mqver, WebSphere MQ 120
Index
41,
179
W wasadmin ID utilisateur, WebSphere Application Server 44 Utilisateur 132 Utilisateur système 129, 132 WebSphere Application Server chiffrement 44, 76 configuration cluster fonctionnel 9 cluster unique 8 conflits de port avec WebSphere – Express 33 limites à l’aide de Tivoli Identity Manager 10 serveur unique 5 détection avant installation de Tivoli Identity Manager sécurité globale itimadmin 132 paramètres 44, 52, 76, 88 wasadmin 132 zone Utilisateur d’EJB 44, 76 zone Utilisateur système 44, 76 terminologie agent de noeud 4 cellule 3 cluster 4 jmsserver 10 membre de cluster 4 Network Deployment Manager 3 noeud 3 plug-in du serveur Web WebSphere 4 serveur d’applications 3 support de messagerie intégrée WebSphere 10 zone niveau de consignation 45, 76 Niveau de consignation 76 Nom d’hôte de cette station de travail 43 Nom de noeud 44 Nom du cluster 75 Nom du serveur 44 nom du serveur de messagerie 45, 77 Nom du serveur de messagerie 76 Port 44 Répertoire d’installation 43, 75 WebSphere Application Server base installation 123 installation automatique, serveur unique 37 installation manuelle, cluster 125 WebSphere Application Server Network Deployment installation 120 WebSphere MQ et support de messagerie intégrée WebSphere 10 fonctionnalités requises 120 mise à jour CSD requise 120 utilitaire mqvr 120
37
Z zone Utilisateur d’EJB, WebSphere Application Server 44, 76 zone Utilisateur système, WebSphere Application Server 44, 76
180
IBM Tivoli Identity Manager Server - Guide d’installation du serveur sous UNIX et Linux à l’aide de WebSphere
Numéro de programme : 5724–C34
SC11-2061-01