Tâches post-installation
La présente section présente les tâches de post-installation. Les rubriques sont les suivantes :
Section 8.1, « Enregistrement de la clé maîtresse », page 71
Section 8.2, « Configuration de l'application utilisateur », page 71
Section 8.3, « Configuration d'eDirectory », page 72
Section 8.4, « Reconfiguration du fichier WAR de l'application utilisateur après l'installation », page 73
Section 8.5, « Configuration de la gestion de mots de passe externe », page 74
Section 8.6, « Mise à jour des paramètres Mot de passe oublié », page 75
Section 8.7, « dépannage », page 76
8.1 Enregistrement de la clé maîtresse
Immédiatement après l'installation, copiez la clé maîtresse codée et enregistrez-la en lieu sûr.
1 Ouvrez le fichier master-key.txt dans le répertoire d'installation.
2 Copiez la clé maîtresse codée dans un emplacement sûr accessible en cas de défaillance système.
Avertissement : conservez toujours une copie de la clé maîtresse codée. Vous avez besoin de la clé maîtresse codée pour accéder à nouveau aux données codées en cas de perte de la clé maîtresse, par exemple en raison d'une défaillance de l'équipement.
Si cette installation est sur le premier membre d'une grappe, utilisez cette clé maîtresse codée lors de l'installation de l'application utilisateur sur d'autres membres de la grappe.
8.2 Configuration de l'application utilisateur
Pour obtenir des informations sur la post-installation afin de configurer l'application utilisateur
Identity Manager et le sous-système des rôles, reportez-vous aux documents suivants :
La section « Configuring the User Application Environment » (Configuration de l'environnement de l'application utilisateur) du manuel Novell IDM Roles Based Provisioning
Module 3.6.1 Administration Guide (Guide d'administration de Novell IDM Roles Based
Provisioning Module 3.6).
Le manuel Novell IDM Roles Based Provisioning Module 3.6.1 Design Guide (Guide de
conception de Novell IDM Roles Based Provisioning Module 3.6)
8.2.1 Configuration de Novell Audit
Copiez le fichier dirxml.lsc (situé dans le fichier prerequisites.zip) sur le serveur Audit en suivant les instructions de la section intitulée « Configuration de la consignation » du Guide d'administration de l'application utilisateur (http://www.novell.com/documentation/idmrbpm361/ index.html) .
8
Tâches post-installation
71
8.3 Configuration d'eDirectory
Section 8.3.1, « Création d'index dans eDirectory », page 72
Section 8.3.2, « Installation et configuration de la méthode d'authentification SAML », page 72
8.3.1 Création d'index dans eDirectory
Pour améliorer les performances de l'application utilisateur, l'administrateur d'eDirectory
TM
doit créer des index pour les attributs manager, ismanager et srvprvUUID. Sans index sur ces attributs, les performances de l'application utilisateur peuvent être réduites, en particulier dans les environnements en grappes.
Ces index peuvent être créés automatiquement pendant l'installation si vous sélectionnez Créer des
index eDirectory sous l'onglet Avancé du tableau de bord Configuration de l'application utilisateur
(décrit dans
Tableau A-2 page 85
). Reportez-vous au Guide d'administration de Novell eDirectory pour obtenir des instructions sur l'utilisation du gestionnaire d'index en vue de créer des index.
(http://www.novell.com/documentation)
8.3.2 Installation et configuration de la méthode d'authentification SAML
Cette configuration est nécessaire uniquement si vous souhaitez utiliser la méthode d'authentification SAML et que vous n'utilisez pas Access Manager. Si vous utilisez Access
Manager, votre arborescence eDirectory comprend déjà la méthode. La procédure comprend :
L'installation de la méthode SAML dans l'arborescence eDirectory.
La modification des attributs eDirectory à l'aide d'iManager.
L'installation de la méthode SAML dans l'arborescence eDirectory.
1 Localisez le fichier nmassaml.zip du fichier .iso puis dézippez-le.
2 Installez la méthode SAML dans votre arborescence eDirectory.
2a Étendez le schéma stocké dans le fichier authsaml.sch
L'exemple suivant montre comment procéder sous Linux : ndssch -h <edir_ip> <edir_admin> authsaml.sch
2b Installez la méthode SAML.
L'exemple suivant montre comment procéder sous Linux : nmasinst -addmethod <edir_admin> <tree> ./config.txt
Modification des attributs eDirectory
1 Ouvrez iManager et allez à Rôles et tâches > Administration de répertoire > Créer un objet.
2 Sélectionnez Afficher toutes les classes d'objets.
3 Créez un objet de la classe authsamlAffiliate.
4 Sélectionnez authsamlAffiliate, puis cliquez sur OK. (Vous pouvez attribuer tout nom valide à cet objet.)
72
Guide d'installation de l'application utilisateur, module de provisioning basé sur les rôles d'Identity Manager
5 Pour préciser le contexte, sélectionnez l'objet du conteneur SAML Assertion.Authorized Login
Methods.Security dans l'arborescence, puis cliquez sur OK.
6 Vous devez ajouter des attributs à l'objet de la classe authsamlAffiliate.
6a Allez dans l'onglet iManager Afficher les objets > Parcourir et cherchez votre nouvel objet affilié dans le conteneur SAML Assertion.Authorized Login Methods.Security.
6b Sélectionnez le nouvel objet affilié, puis sélectionnez Modifier l'objet.
6c Ajoutez l'attribut authsamlProviderID au nouvel objet affilié. Cet attribut permet d'associer une assertion à son affilié. Le contenu de cet attribut doit correspondre exactement à l'attribut Issuer (émetteur) envoyé par l'assertion SAML.
6d Cliquez sur OK.
6e Ajoutez les attributs authsamlValidBefore et authsamlValidAfter à l'objet affilié. Ces attributs définissent la durée (en secondes) autour d'IssueInstant (instant d'émission) dans une assertion considérée comme valide. Une valeur par défaut classique est 180 secondes.
6f Cliquez sur OK.
7 Sélectionnez le conteneur Sécurité, puis sélectionnez Créer un objet pour créer un Conteneur
de racine approuvée dans votre conteneur Sécurité.
8 Créez des objets de racine approuvée dans le conteneur racine approuvée.
8a Revenez à Rôles et tâches > Gestion d'annuaire, puis sélectionnez Créer un objet.
8b Sélectionnez de nouveau Afficher toutes les classes d'objets.
8c Création d'un objet de racine approuvée pour le certificat que votre affilié utilisera pour signer des assertions. Pour ce faire, vous devez avoir une copie codée der du certificat.
8d Créez de nouveaux objets de racine approuvée pour chaque certificat de la chaîne des certificats de signature jusqu'au certificat CA racine.
8e Définissez le contexte sur le conteneur de racine approuvée créé ci-dessus, puis cliquez sur OK.
9 Retournez à la visionneuse d'objets.
10 Ajoutez un attribut authsamlTrustedCertDN à votre objet affilié, puis cliquez sur OK.
Cet attribut doit pointer vers « l'objet de racine approuvée » du certificat de signature que vous avez créé à l'étape précédente. (Toutes les assertions de l'affilié doivent être signées par des certificats pointés par cet attribut, sinon elles seront rejetées.)
11 Ajoutez un attribut authsamlCertContainerDN à votre objet affilié, puis cliquez sur OK.
Cet attribut doit pointer vers le « conteneur de racine approuvée » que vous avez créé auparavant. (Cet attribut permet de vérifier la chaîne du certificat de signature.)
8.4 Reconfiguration du fichier WAR de l'application utilisateur après l'installation
Pour mettre votre fichier WAR à jour, vous devez exécuter l'utilitaire de mise à jour de la configuration comme suit :
1 Exécutez l'utilitaire ConfigUpdate dans le répertoire d'installation de l'application utilisateur via configupdate.sh ou configupdate.bat. Cela permet de mettre à jour le fichier
WAR dans le répertoire d'installation.
Tâches post-installation
73
