Полигон по Novell Identity Manager. Лабораторная работа
Материал из Xgu.ru
- Автор: Сергей Черепенин
- Короткий URL: IdM_lab
[править] Подключение к виртуальной машине
Подключение к рабочему столу виртуальной машины с операционной системой SUSE Linux Enterprise Server 10 (i586)осуществляется с помощью программы vncviewer, которую можно запустить через меню Start - Programs - RealVNC - Run VNC Viewer. В открывшемся окне необходимо будет ввести DNS имя vnc сервера или его IP адрес и номер дисплея.
Введите:
slesN:1
где здесь и далее: N - номер рабочего места слушателя (указывается инструктором).
Затем, в открывшемся окне, для регистрации необходимо ввести имя пользователя и его пароль:
username: user
password: password
[править] Установка и настройка Novell eDirectory
[править] Краткая информация о Novell eDirectory
Novell eDirectory (ранее служба каталогов Novell, Novell Directory Services) — это совместимая с X.500 служба каталогов, выпущенная в 1993 году компанией Novell, Inc. для централизованного управления доступом к ресурсам на множестве сетевых серверов.
eDirectory -- иерархическая, объектно-ориентированная база данных, представляющая все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т. д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счёт использования динамического наследования прав и использования механизмов эквивалентности по правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.
[править] Список поддерживаемых операционных систем
eDirectory может функционировать на серверах:
- Windows NT
- Windows 2000
- Windows Server 2003
- Sun Solaris
- GNU/Linux
- IBM AIX
- Hewlett-Packard HP-UX
- NetWare
Более подробно смотрите на Novell eDirectory.
[править] Установка Novell eDirectory
Установка выполняется скриптом, который необходимо запустить с правами суперпользователя:
# sh /media/IDM301/eDirectory_8.8/Linux/setup/nds-install
Далее необходимо согласиться с лицензионным соглашением:
%%% Do you accept the terms of Novell eDirectory 8.8.1 license agreement '[y/n/q] ? '
Необходимо согласится с лицензионным соглашением - наберите y и нажмите Enter.
Выбор компонентов установки:
%%% 1 Novell eDirectory Server %%% 2 Novell eDirectory Administration Utilities %%% Select the components you wish to install [?, q] :
Выберете оба варианта - наберите 1,2 и затем нажмите Enter.
После установки необходимо внести некоторые изменения в среду окружения. Сделать это проще всего путём редактирования и последующего выполнения файла ~root/.profile. В этот файл необходимо добавить следующие строки:
export PATH=/opt/novell/eDirectory/bin:/opt/novell/eDirectory/sbin:$PATH export LD_LIBRARY_PATH=/opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:$LD_LIBRARY_PATH export MANPATH=/opt/novell/man:/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=/opt/novell/eDirectory/share/locale
Сделать это можно путём выполнения следующей команды:
cat <<NOVELL_ENV >> ~/.profile export PATH=/opt/novell/eDirectory/bin:/opt/novell/eDirectory/sbin:$PATH export LD_LIBRARY_PATH=/opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:$LD_LIBRARY_PATH export MANPATH=/opt/novell/man:/opt/novell/eDirectory/man:$MANPATH export TEXTDOMAINDIR=/opt/novell/eDirectory/share/locale NOVELL_ENV
После этого необходимо внести изменения в текущую среду окружения:
. ~root/.profile
И после всех изменений необходимо проверить правильность настройки переменных окружения:
echo $LD_LIBRARY_PATH /opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:
На этом установка eDirectory завершена.
[править] Настройка Novell eDirectory
Настройка eDirectory выполняется программой ndsconfig. Так как у нас еще не настроена служба Novell eDirectory, то необходимо передать программе аргумент new:
# ndsconfig new
Во время выполнения этой команды будет задан ряд вопросов:
- 1. Имя пользователя с привилегиями администратора:
Enter admin name with context[admin.org]:
В нашем случае - admin.polygon.nt
- 2. Пароль администратора:
Enter the password for admin.polygon.nt:
rootpass
- 3. Проверка пароля администратора:
Re-enter the password for admin.polygon.nt:
rootpass
- 4. Имя создаваемого дерева:
Enter tree name[root-slesN-NDStree]:
TREEN
- 5. Контекст сервера:
Enter server context[org]:
polygon.nt
- 6. Выбор каталога для временного хранения данных:
Please enter the absolute path for the instance [ /var/opt/novell/eDirectory ]:
Необходимо принять в этом вопросе значение по умолчанию, указанном в квадратных скобках - нажмите Enter.
- 7. Выбор каталога базы данных eDirectory
Please enter absolute path of the database directory [ /var/opt/novell/eDirectory/data/dib ]:
Также согласитесь со значением по умолчанию - нажмите Enter.
После окончания выполнения команды настройка Novell eDirectory завершена.
[править] Установка Security Services
Установка обновлений безопасности требует прав суперпользователя и остановленного сервиса eDirectory:
# /etc/init.d/ndsd stop && sh /media/IDM35/_Addons/SS204/install.sh
На вопрос
Are you sure you wish to continue? [y/N]
ответьте y и нажмите Enter.
После завершения работы скрипта вновь запустите сервис eDirectiry ndsd:
# /etc/init.d/ndsd start
На этом установка обновлений безопасности завершена.
[править] Установка и настройка Novell iManager
[править] Краткая информация о Novell iManager
Novell iManager обеспечивает глобальное представление сети одним web-инструментом, позволяя администратору предвидеть и удовлетворять постоянно изменяющиеся требования к сети. При помощи Novell iManager можно управлять
- Novell Open Enterprise Server
- Novell Identity Manager
- Novell eDirectory и много других продуктов Novell, предоставляющих web-интерфейс управления при помощи браузера.
Кроме того продукт обеспечивает единый пункт администрирования для объектов каталога, схем, разделов, реплик и т.д. Централизованное web-управление устраняет избыточность задач администрирования, позволяя тем самым экономить и время и деньги.
Novell iManager также обеспечивает множество возможностей, существенно облегчающих администрирование сети. Наверное, самой важной особенностью iManager является возможность делегированного администрирования, которая позволяет назначать пользователей с определёнными задачами управления и обязанностями. Делегирование простых административных задач, таких как сброс паролей или добавления принтеров сети, позволяет администратору сети сосредоточиться на стратегических проектах, которые непосредственно влияют практический результат компании.
Ядро iManager базируется на технологии сервлетов и использует в качестве сервера приложений Tomcat, а Web-сервера – Apache. Использование таких популярных Open Source решений, позволяет iManager функционировать на множестве платформ:
- Novell Open Enterprise Server
- SUSE Linux
- NetWare
- HP-UX
- Red Hat Linux
- Solaris
- Windows2000 Server
- Windows2003 Server
- Windows2000
- WindowsXP
Такая широкая поддержка операционных систем дает возможность выбора платформы и места развертывания консоли управления, что позволяет создавать и на высоком уровне управлять сложными гетерогенными сетями предприятия.
Преимуществами iManager по сравнению с другими инструментами (как от Novell, например, ConsoleOne/Nwadmin, так и от третьих компаний) является:
- Клиентонезависимость (Windows ОС, Linux ОС и др.).
- Поддежка популярных браузеров.
- Ролевое администрирование.
- Централизованное управление большинством решений Novell (включая Identity Manager) и некоторыми популярными OpenSource решениями (например, Samba, Apache).
- Гибкость в настройке.
- Единое средство как для разработки проекта, так и и для администрирования.
[править] Установка Novell iManager
Установка выполняется скриптом, запущенного с правами суперпользователя:
# sh /media/IDM301/iManager_2.6/Linux/iManagerInstallLinux.bin
После запуска скрипта на выполнение необходимо будет ответить на ряд вопросов:
- 1. Выбор языка программы установки:
Choose Locale...
----------------
1- English
->2- Русский
CHOOSE LOCALE BY NUMBER:
Выберете Русский - нажимите цифру 2 и затем Enter.
- 2. Лицензионное соглашение:
После прочтения лицензионного соглашения необходимо с ним согласиться:
ВЫ ПРИНИМАЕТЕ УСЛОВИЯ ЭТОГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ? (Д/Н)
Нажимите Д, затем Enter.
- 3 Выбор компонентов установки:
Выбор компонентов
-----------------
->1- Novell iManager 2.6, Tomcat, JVM
2- Tomcat, JVM
3- JVM
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ
ВАРИАНТ ПО УМОЛЧАНИЮ.:
Согласитесь со значением по умолчанию (Novell iManager 2.6, Tomcat, JVM) - нажимите Enter.
- 4. Загрузка подключаемых модулей. Для экономии времени мы не будем скачивать модули - мы их позже установим локально.
Установка подключаемых модулей
------------------------------
Загрузить подключаемые модули?
->1- Да
2- Нет
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ
ВАРИАНТ ПО УМОЛЧАНИЮ.:
Нажимите 2, затем Enter.
- 5. Установка модулей из локального хранилища:
Установка подключаемых модулей
------------------------------
Хотите установить подключаемые модули из локального каталога?
->1- Да
2- Нет
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ
ВАРИАНТ ПО УМОЛЧАНИЮ.:
Мы будем использовать web-интерфейс для установки модулей, поэтому выберите 2 и нажмите Enter.
- 6. Установка web-сервера:
Apache
------
Хотите, чтобы программа установки iManager настроила Tomcat с предустановленным Apache?
->1- Да
2- Нет
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ
ВАРИАНТ ПО УМОЛЧАНИЮ.:
Согласитесь со значением по умолчанию - нажмите Enter.
- 7. Настрока web-сервера:
Основной каталог Apache ----------------------- Введите основной каталог Apache. Каталог, содержащий файл httpd.conf. Основной каталог Apache (DEFAULT: /etc/apache2):
Согласитесь со значением по умолчанию - нажмите Enter.
- 8. Настройка SSL:
Ошибка настройки SSL для Apache
-------------------------------
Программа установки не может настроить Apache, поскольку не настроен протокол
SSL. Отмените установку и настройте SSL либо продолжайте установку и
пользуйтесь только Tomcat.
->1- Продолжение
2- Отмена
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ НУЖНЫЙ ВАРИАНТ, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ
ПРИНЯТЬ ВАРИАНТ ПО УМОЛЧАНИЮ.:
Согласитесь со значением по умолчанию - нажмите Enter.
- 9 Настройка портов web-сервера:
Получить номер PORT ------------------- Введите номера портов, которые будут использоваться Tomcat. TOMCAT HTTP PORT (DEFAULT: 8080):
Согласитесь со значением по умолчанию - нажмите Enter.
TOMCAT SSL PORT (DEFAULT: 8443):
Согласитесь со значением по умолчанию - нажмите Enter.
TOMCAT JK CONNECTOR PORT (DEFAULT: 9009):
Согласитесь со значением по умолчанию - нажмите Enter.
- 10. Сведения об администраторе eDirectory:
Сведения об авторизованном пользователе --------------------------------------- Введите полный контекст и дерево авторизованного пользователя для управления. Контекст пользователя (например admin.novell) (DEFAULT: none)
Во время настройки Novell eDirectory была указана учетная запись admin.polygon.nt. Введите это значение и нажмите Enter.
Дерево (например MY_TREE) (DEFAULT: none):
Ввелите значение TREEN, которое было введено при настройке Novell eDirectory и нажмите Enter.
- 11. Предустановочное резюме:
Предустановочное резюме
-----------------------
Перед продолжением проверьте следующее:
Novell iManager 2.6 :
novell-imanager,novell-plugin-base
Tomcat :
novell-base,novell-tomcat4,novell-tomcat4-webapps
JVM :
novell-j2sdk
Подключаемые модули для загрузки :
Существующая: :
Подключаемые модули для копирования :
Административный пользователь и контекст : admin.polygon.nt
Дерево : TREEN
HTTP-порт Tomcat: 8080
Порт Tomcat SSL : 8443
Порт соединителя Tomcat JK : 9009
Основной каталог Apache : /etc/apache2
Каталог для копирования подключаемых модулей :
->1- Щелкните "ОК" для продолжения
2- Внести изменения
ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ
ВАРИАНТ ПО УМОЛЧАНИЮ.:
Согласитесь со значением по умолчанию - нажмите Enter.
- 12. Завершение установки:
Установка завеpшена ------------------- Поздравляем! Установка Novell iManager 2.6 успешно завершена. НАЖМИТЕ <ENTER> ДЛЯ ПРОДОЛЖЕНИЯ:
Для выхода из программы инсталляции нажмте Enter.
На этом устанока iManager завершена.
[править] Установка обновлений Novell iManager
После установки Novell iManager и Tomcat-сервера на порту 8080 по адресу http://slesN:8080/nps доступен web-интерфейс управления Novell iManager. Откройте в браузере эту страницу. На странице регистрации необходимо ввести следующую информацию:
Имя пользователя: admin.polygon.nt
Пароль: rootpass
Дерево: TREEN
Стартовая страница будет "Функции и задачи".
Нам необходимо перейти в раздел "Настройка". Переход осуществляется путём нажатия на иконку 
в верхней части страницы.
Далее в меню навигации необходимо развернуть меню "Установка подключаемых модулей" и выбрать пункт "Доступные подключаемые модули Novell". Затем, через меню "Добавить" при помощи кнопки "Обзор" выберите из каталога /ISO/iManager_Updates/два файла:
- iMan26.npm
- sp3_iman26.npm
Далее, отметьте эти два модуля, путём установки галочек напротив соответствующего модуля, и нажмите "Установка"
После завершения установки необходимо выйти из iManager с помощью иконки 
и перестартовать web-сервер tomcat при помощи команды в терминале от имени суперпользователя:
# /etc/init.d/novell-tomcat4 restart
На этом установка обновлений Novell iManager завершена.
[править] Установка подключаемых модулей Novell iManager
Вновь зарегистрируйтесь в Novell iManager, перейдите в раздел "Настройка", разверните меню "Установка подключаемых модулей" и выберите пункт "Доступные подключаемые модули Novell". Затем, через меню "Добавить" при помощи кнопки "Обзор" выберите из каталога /ISO/iManager_Plugins/пять файлов:
- eDir_88_iMan26_Plugins.npm
- identity_manager_plugins.npm
- naudit.npm
- nmas_3.1.2.npm
- pki_3.2.0.1.npm
Далее отметьте эти модули для установки и нажмите "Установка"
После установки подключаемых модулей нажмите на кнопку "Закрыть", затем выйдете из Novell iManager и рестартуйте web-сервер tomcat:
# /etc/init.d/novell-tomcat4 restart
На этом установка подключаемых модулей Novell iManager завершена.
[править] Установка Novell Identity Manager
[править] Краткая информация о Novell Identity Manager
Novell Identity Manager — решение для унификации управления пользователями в корпоративной сети. Identity Manager выполняет автоматическую синхронизацию учётных записей пользователей между разнородными службами каталогов и базами данных, как внутри предприятия, так и между различными предприятиями.
Identity Manager поддерживает большое количество драйверов для подключения к различным системам, среди которых:
- Приложения:
- Baan
- HP Service Desk (Partner Developed Driver)
- J.D.Edwards
- Lawson
- Oracle
- Peoplesoft
- SAP HR
- SAP R/3 4.6 and SAP Enterprise Systems (BASIS)
- SAP Web Application Server (Web AS) 6.20
- Siebel
- Sugar CRM (Partner Developed Driver)
- Базы данных:
- IBM DB2
- Informix
- Microsoft SQL Server
- MySQL
- Oracle
- Sybase
- JDBC
- Каталоги
- Critical Path InJoin Directory
- IBM Directory Server (SecureWay)
- iPlanet Directory Server
- Microsoft Active Directory
- Netscape Directory Server
- NIS
- NIS +
- Novell eDirectory
- Oracle Internet Directory
- Sun ONE Directory Server
- LDAP
- Почтовые системы:
- Microsoft Exchange 2000
- Microsoft Exchange 5.5
- Novell GroupWise
- Lotus Notes
- Операционные системы:
- SUSE Linux Enterprise
- Debian Linux
- FreeBSD
- HP-UX
- IBM AIX
- Microsoft Windows NT Domain
- Red Hat AS and ES
- Red Hat Linux
- Solaris
- UNIX Files - /etc/passwd
Более подробный список доступен на странице Identity Manager Drivers сайта компании Novell.
О возможностях Novell Identity Manager можно прочитать на странице Identity Manager Compare на сайте компании Novell.
Novell Identity Manager позволяет
- автоматически предоставлять, изменять или отзывать разрешения пользователя на доступ во всех системах в реальном времени;
- снизить число паролей, которые необходимо помнить пользователям;
- осуществлять глобальной политики управления паролями;
- использовать как централизованное так и распределённое управление различными параметрами учётных записей.
Подключаемые модули управления Novell Identity Manager для Novell iManager предоставляют возможность создания политик нового типа - так называемых политик управления правами на основе ролей (Entitlements). Функция Entitlements позволяет назначать для персоны или группы критерии, при удовлетворении которых инициируется событие по предоставлению или ликвидации прав доступа к ресурсам организации в синхронизируемых системах.
[править] Установка Novell Identity Manager
Установка Novell Identity Manager выполняется скриптом, запущенным в терминале от имени суперпользователя:
# sh /media/IDM35/linux/setup/idm_linux.bin
В процессе установки необходимо будет ответить на ряд вопросов:
- 1. Выбор языка установки:
Choose Locale...
----------------
1- English
CHOOSE LOCALE BY NUMBER:
Нажмите1 и затем Enter.
- 2. Предварительная информация:
Introduction ------------ Welcome to the Novell Identity Manager 3.5 installation. Depending on your system configuration, you may need to run this installation program several times to install Identity Manager components on the appropriate systems. These systems might include the following: * Metadirectory Server * Connected System Server * Web-based Administrative Server PRESS <ENTER> TO CONTINUE:
Нажимите Enter.
- 3. После прочтения лицензионного соглашения необходимо с ним согласиться:
DO YOU ACCEPT THE TERMS OF THIS LICENSE AGREEMENT? (Y/N):
Нажмите Y, затем Enter.
- 4. Выбор типа установки:
Choose Install Set
------------------
Please choose the Install Set to be installed by this installer.
->1- Metadirectory Server
2- Connected System Server
3- Web-based Administrative Server
4- Customize...
ENTER THE NUMBER FOR THE INSTALL SET, OR PRESS <ENTER> TO ACCEPT THE DEFAULT
Выберите Customize путём нажатия цифры 4 и клавиши Enter.
- 5. Выбор модулей установки:
Choose Product Features
-----------------------
ENTER A COMMA_SEPARATED LIST OF NUMBERS REPRESENTING THE FEATURES YOU WOULD
LIKE TO SELECT, OR DESELECT. TO VIEW A FEATURE'S DESCRIPTION, ENTER
'?<NUMBER>'. PRESS <RETURN> WHEN YOU ARE DONE:
1- [X] Metadirectory Engine
2- [ ] Remote Loader
3- [X] Avaya Driver
4- [X] Delimited Text Driver
5- [X] eDirectory Driver
6- [X] Groupwise Driver
7- [X] JDBC Driver
8- [X] JMS Driver
9- [X] LDAP Driver
10- [X] Linux/UNIX Bidirectional Driver
11- [X] Linux/UNIX Settings Driver
12- [X] Lotus Notes Driver
13- [X] PeopleSoft Driver
14- [X] RACF Driver
15- [X] Remedy Driver
16- [X] SAP Driver
17- [X] SOAP Driver
18- [X] Top Secret Driver
19- [ ] Identity Manager Plug-ins
20- [ ] Identity Manager Driver Configurations
Please choose the Features to be installed by this installer.
К уже выделенным модулям необходимо необходимо добавить Identity Manager Plug-ins и Identity Manager Driver Configurations.
Наберите 19,20 и затем нажмите Enter.
- 6. Предупреждение о необходимости активации:
Identity Manager Activation Notice! ----------------------------------- Identity Manager components require activation and must be activated within 90 days of installation, otherwise they will time out. Purchasing a component authorizes you to request and receive activation credentials which are required to activate the product. PRESS <ENTER> TO ACCEPT THE FOLLOWING (OK):
Нажмите Enter.
- 7. Ввод регистрационной информации:
Authentication -------------- Enter the credentials of a user with rights to extend the eDirectory schema and install iManager plug-ins. User name in LDAP Format (Example: CN=admin,O=novell). (DEFAULT: )
Введите пользователя, указанного при настройке eDirectory в LDAP формате:
cn=admin,ou=polygon,o=nt
Пароль для указанного пользователя:
Enter User Password:
Введите пароль, указанный при настройке eDirectory:
rootpass
- 8. Предустановочное резюме:
Pre-Installation Summary
------------------------
Please Review the Following Before Continuing:
Install Set
Custom
Product Components:
Metadirectory Engine,
Avaya Driver,
Delimited Text Driver,
eDirectory Driver,
Groupwise Driver,
JDBC Driver,
JMS Driver,
LDAP Driver,
Linux/UNIX Bidirectional Driver,
Linux/UNIX Settings Driver,
Lotus Notes Driver,
PeopleSoft Driver,
RACF Driver,
Remedy Driver,
SAP Driver,
SOAP Driver,
Top Secret Driver,
Identity Manager Plug-ins,
Identity Manager Driver Configurations
PRESS <ENTER> TO CONTINUE:
Нажмите Enter для продолжения.
- 9. Постинсталляционное резюме:
Installation Complete --------------------- Congratulations. Novell Identity Manager 3.5 has been successfully installed onto your system. If you have installed Identity Manager Plug-ins, please restart your Application server. PRESS <ENTER> TO EXIT THE INSTALLER:
Нажмите Enter для выхода из инсталляционной программы и перезапустите web-сервер tomcat:
# /etc/init.d/novell-tomcat4 restart
На этом установка Novell Identity Manager завершена.
[править] Настройка Сервиса Административных Функций
[править] Краткая информация о Role-Based Services
iManager дает возможность назначения определённых обязанностей пользователям и предоставлять им инструменты (и сопровождающие их права), необходимые для выполнения определённого набора обязанностей. Эти функциональные возможности называют Role-Based Services (RBS) - Сервис административных функций.
Сервис административных функций - ряд расширений к схеме eDirectory. RBS определяет несколько классов объекта и признаков, которые обеспечивают механизм предоставления пользовательского доступа к задачам управления, основанным на роли пользователя в организации. Это дает возможность доступа пользователей к только тем задачам, которые они могут выполнять. RBS предоставляет только те права, которые необходимы для выполнения назначенных задач.
Основная функция RBS - создание определённых ролей в пределах организации. Роли содержат задачи, которые пользователь может выполнить. Например, администратор может назначить роль пользователю, который будет выполнять задачи создания нового пользователя или изменения пароля в пределах iManager. Задачи быть привязаны к ролям, но могут быть заменены, повторно назначены, или удалены в целом. Кроме того, пользователи связаны с ролями в указанных возможностях, которые являются контейнерными объектами в дереве, а пределах которого пользователь имеет необходимые права для выполнения поставленной задачи.
Роль требует, чтобы тройная ассоциация роли, членов, и возможностей была полной. Объект Роли RBS создает ассоциацию между пользователями и задачами. Администратор предоставляет пользовательский доступ к задаче, делая пользователя членом роли, на которую назначена задача. Пользователю роль может быть назначена одним из следующих способов:
- Непосредственно как пользователь
- Через группу и динамические назначения группы. Если пользователь - член группы или динамической группы, которой назначена определённая роль, то пользователь имеет доступ к этой роли.
- Через назначение роли организационному подразделению. Если пользователь - член организационного подразделения, которому назначена роль, то пользователь имеет доступ к этой роли.
- Через назначение роли контейнеру. Пользователь имеет доступ ко всем ролям, что его родительский контейнер (включая также другие контейнеры вверх по иерархии до корня дерева).
Пользователь может быть связан с ролью в разные интервалы времени, и каждый из интервалов с различными возможностями.
[править] Настройка Role-Based Services
Для настройки этого сервиса необходимо зарегистрироваться в Novell iManager, перейти в раздел "Настройка", кликнув мышью на иконке в верхней части страницы, раскрыть меню "Сервис административных функций" и выбрать пункт "Конфигурация RBS".
На данной странице будет уведомление о необходимости запустить "Мастер настройки сервиса административных функций". Нажмите на эту ссылку.
В начале будет страница приветствия - нажмите кнопку "Далее"
На следующей странице необходимо будет ввести расположение этого сервиса. Нажмите на иконку 
- в результате будет открыто всплывающее окно, где необходимо будет выбрать контейнер nt. Затем нажмите кнопку "Далее".
На следующей странице необходимо будет ввести область действия этого сервиса и выбрать "Устанавливаемые модули". Нажмите на кнопку "Выбрать все" и с помощью иконки выберите область действия - контейнер nt. Затем нажмите на кнопку "Запуск"
После того, как операция обновления завершена, нажмите на кнопку "Закрыть" для завершения настройки сервиса административных функций.
[править] Подготовка необходимых данных и файлов для настройки драйвера связи с Active Directory
[править] Подготовка сертификата сервера
Этот этап необходим для установки ldap соединения в защищенном ssl канале с Active Directory. Это соединение будет создаваться с использованием сертификата сервера, на котором установлена Novell eDirectory.
Для создания сертификата сервера необходимо перейти на страницу "Функции и задачи", кликнув на иконку 
в верхней части страницы, раскрыть в меню навигации меню "Novell Certificate Server" и выбрать пункт "Create Server Certificate". На этой странице необходимо будет определить следующие параметры:
- выбор сервера:
c помощью иконки необходимо вызвать всплывающее окно и в нем выбрать в контейнере nt организационное подразделение polygon и далее - сервер slesN
- имя сертификата:
В поле "Nickname" необходимо указать имя сертификата. Это может быть любое слово, желательно отображающее назначение данного сертификата. Наберите имя slesNcert
- выбор метода создания сертификата "Creation method".
Выберете метод создания сертификата с параметрами по умолчанию - отмечаем поле "Standard"
Нажмите кнопку "Далее"
На следующей странице будут показаны параметры, с которыми будет создан сертификат.
Нажмите кнопку "Готово"
На этом подготовка сертификата сервера завершена. Нажмем "Закрыть".
[править] Экспорт сертификата
Экспорт сертификата необходим для получения файла с сертификатом, для последующего копирования его на контроллер домена Active Directory.
Для экспорта необходимо, находясь на странице "Функции и задачи", раскрыть в меню навигации меню "Администрирование Каталога" и выбрать пункт "Изменение объекта".
На открывшейся странице, используя иконку , выбрать корневой раздел, в нем развернуть контейнер Security и там выбрать TREEN CA. Затем нажмите кнопку "OK"
В результате откроется страница "Изменение объекта: Certificate Authority
TREEN CA.Security", на которой необходимо перейти на вкладку "Certificates".
Далее необходимо выбрать "Self Signed Certificate" путём установки галочки напротив этого поля и нажать на "Export". В результате откроется страница экспорта, где необходимо будет снять галочку с поля "Export private key" и выбрать формат сертификата "BASE64" в поле "Export format".
Затем нажмите "Далее" и нажмите на ссылку "Save exported certificate" и сохраните его. Этот файл сохранится на рабочий стол с именем "cert.64b".
На этом экспорт сертификата завершен. Теперь его необходимо скопировать на контроллер домена Active Directory.
Запустите браузер Konqueror, в адресной строке введите smb://Administrator@winN/c$ и перейдите по этой ссылке. Далее будет предложено ввести пароль:
password: rootpass
Далее мышью перетащите файл cert.64b в открывшееся окно и выберите во всплывающем меню Копировать сюда. Файл будет скопирован в корень диска С.
[править] Установка и настройка Remote Loader на контроллере домена
[править] Краткая информация о Remote Loader
DirXML Remote Loader связывает DirXML драйверы, запущенных на различных платформах, и Metadirectory engine. В свою очередь Metadirectory engine обеспечивает интерфейс, который позволяет драйверам Identity Manager синхронизировать информацию с Identity Vault (eDirectory). Например, DirXML драйвер для Active Directory устанавливается и выполняется на платформе Windows. Благодаря Remote Loader происходит двухсторонняя синхронизация объектов Active Directory и объектов eDirectory. Remote Loader выступает в качестве промежуточного звена в этом потоке данных между соответствующим драйвером Identity Manager и Active Directory. Если есть необходимость синхронизации данных между Active Directory и, например, каталога iPlanet (Sun), то необходимо установить и настроить Remote Loader на платформе с iPlanet и на Windows с Active Directory, настроить драйверы Identity Manager для этих каталогов и определить правила синхронизации данных в информационном потоке между этими двумя соединёнными системами. Тогда поток данных будет проходить так:
Active Directory <--> Remote Loader для Active Directory <--> Identity Manager Driver для Active Directory <--> eDirectory <--> Identity Manager Driver для платформы с iPlanet <--> Remote Loader для iPlanet <--> iPlanet
Remote Loader условно можно разделить на две составляющие:
- Driver Shim или просто драйвер
- Loader составляющая
Driver Shim учитывает всю специфику работы с каталогом или системой, для которой он предназначен, а составляющая Loader - отвечает за организацию и поддержание канала связи на надлежащем уровне между Driver Shim и драйвером Identity Manager.
[править] Установка Remote Loader
Для запуска программы инсталляции необходимо в меню Run выполнить команду:
E:/nt/install.exe
В результате запустится программа установки и первым открывшимся окном будет окно информативного характера - нажмите Next.
Далее - лицензионное соглашение. Нажмите I Accept.
Затем два окна с информацией о возможных вариантах установки - нажмите на каждом из них Next.
Далее окно с выбором компонентов установки - выберите только Novell Identity Manager Connected System, предварительно сняв галочки с остальных компонентов.
В следующем окне необходимо выбрать папку установки - согласитесь со значением по умолчанию и нажмите Next.
Далее - выбор набора драйверов для установки. Выберете в разделе Identity Manager Drivers только пункт Active Directory и в разделе Remote Loader выберите Remote Loader Services.
Следующее окно информативного характера, сообщающее о необходимости активации. Нажмите OK.
Следующее окно также информативного характера, сообщающее о поддержке Password Syncronization 2.0. Нажмите OK.
Следующее окно покажет какие компоненты будут установлены. Нажмите Finish.
После завершения инсталляции будет еще одно окно - спрашивающее о необходимости создать ярлык на рабочем столе. Нажмите Yes.
На этом установка Remote Loader завершена.
[править] Настройка синхронизации паролей
После установки Remote Loader в панели управления появился пункт Identity Manager PassSync. Запустите этот сервис.
Перед тем, как откроется окно настройки этого сервиса, появится окно, спрашивающее тот ли это компьютер, на котором установлен сервис Remote Loader? Ответьте Yes.
В результате откроется окно настройки данного сервиса. С помощью кнопки Add в поле Domain выберите имя домена WINN0, а поле Computer оставьте пустым и нажмите OK.
В следующем окне будет задан вопрос - хотим ли мы использовать DNS имя для данного хоста? - ответьте Yes.
Теперь в окне Password Synchronization, выделив строку с именем хоста, нажмите на кнопку Filters.
Откроется новое окно Password Filters on winN.polygon.nt, где необходимо будет выделить контроллер домена и нажать на кнопку Add.
Нажмите OK - закроется окно Password Synchronization for domain.
Затем в окне Password Synchronization нажмите OK и тем самым закройте его.
На этом настройка синхронизации паролей завешена. После проделанных операций необходимо перезагрузить Windows.
[править] Настройка Remote Loader
Запускаем Remote Loader Console с помощью соответствующей иконки на рабочем столе.
В открывшемся окне нажимаем кнопку Add - откроется окно настройки драйвера.
В этом окне необходимо будет ввести следующую информацию:
Description: winN0 - Имя драйвера
Driver: C:\Novell\RemoteLoader\ADDriver.dll - файл библиотеки драйвера
IP Address: 192.168.16.16N - адрес для прослушивания драйвером
Connection Port: 8090 - порт для прослушивания драйвером на интерфейсе IP Address
Command Port: 8000 - порт взаимодействия Remote Loader с синхронизируемым приложением
Remote Loader Password: rootpass - пароль для контроля доступа к Remote Loader
Driver Object Password: rootpass - пароль для аутентификации Remote Loader в iManager
Включить SSL - установив соответствующем месте галочку и выбрать файл С:\cert.b64 в поле Trusted Root File
Trace Level 1 - уровень вывода отладочной информации в лог файл Trace File
Остальные параметры оставляем равным значениям по умолчанию.
Завершение настройки драйвера путём нажатия OK.
На вопрос - хотим ли мы запустить сервис сейчас отвечаем Yes.
На этом настройка Remote Loader завершена.
[править] Импорт самоподписного сертификата
Для импорта самоподписного сертификата необходимо в меню Run дать команду mmc. Затем нажмите Ctrl+M - откроется окно добавления оснастки.
Выберете оснастку Certificates для My user account путём нажатия кнопки Add.
Разверните Certificates Current User далее - разверните Trusted Root Certification Authorities.
На Certificates кликнете правой кнопкой мыши и в появившемся контекстном меню выберите All Tasks - Import.
С помощью мастера импорта сертификатов выберите сертификат cert.b64, находящегося на диске С. Для этого необходимо будет в окне выбора файла выбрать тип - все файлы.
После нажатия кнопки Finish на появившееся предупреждение необходимо ответить Yes.
Теперь можно закрыть консоль mmc.
На этом импорт сертификата завершен.
[править] Подготовка домена к синхронизации
Синхронизация учётных записей будет осуществляться между двумя объектами - организационное подразделение polygon.nt в eDirectory и контейнером Users в Active Directory. Для проверки правильности синхронизации будем использовать службу терминалов на контроллере домена Active Directory вновь созданными пользователями. Удачная регистрация на Windows машине будет означать безошибочную синхронизацию учётных записей. Так как синхронизация будет проходить с контейнером Users в Active Directory, то для предоставления возможности регистрироваться по rdp протоколу всем пользователям в этом контейнере, необходимо включить его в группу Remote Desktop Users, находящуюся в контейнере Builtin. Кроме этого, необходимо кликнуть на корневом контейнере дерева домена и выбрать Properties, затем перейти на вкладку Group Policy, выделить Default Domain Policy и нажать Edit. В открывшемся окне развернуть Computer Configuration, затем развернуть Windows Settings, затем Security Settings, затем Local Policies и выбрать User Rigths Assignmet. В открывшемся списке политик необходимо открыть политику Allow log on through Terminal Services, поставить галочку напротив Define these policy settings и нажать на Add User or Group. В открывшемся окне Add User or Group, в поле User and group names, необходимо внести WINN0\Domain Users нажать OK, и затем снова нажать OK в окне Allow log on through Terminal Services. После этого необходимо применить сделанные изменения путем выполнения команды gpupdate /force в командной строке.
Теперь все участники этой группы могут использовать службу терминалов для регистрации на контроллере домена.
На этом подготовка контроллера домена к синхронизации завершена.
[править] Настройка драйвера в Novell iManager
[править] Краткая информация о драйверах Novell Identity Manager
Драйверы Novell Identity Manager определяют принципы и правила передачи информации между Novell eDirectory и соединёнными системами. Кроме этого, при включении опции Identity Manager Driver Configurations при установке Novell Identity Manager, появляется возможность импорта Driver Configuration File - файла конфигурации драйвера, вместо ручной его настройки. Driver Configuration File это заранее сконфигурированный XML файл, который администратор может импортировать с помощью мастера Novell iManager или Novell Identity Designer в качестве шаблона для дальнейшей конфигурации драйвера. Это значительно сокращает время настройки драйвера.
[править] Настройка драйвера
Для настройки драйвера необходимо зайти браузером на страницу http://slesN:8080/nps и зарегистрироваться в iManager используя следующие регистрационные данные:
Имя пользователя: admin.polygon.nt
Пароль: rootpass
Дерево: TREEN
Далее, в области навигации необходимо раскрыть меню Identity Manager Utilities и выбрать пункт New Driver.
В результате будет открыта страница Welcome to the New Driver Wizard, где необходимо выбрать расположение In a new driver set и нажать кнопку Next.
На следующей странице необходимо ввести:
Name: ActiveDirectory
Context: polygon.nt
Server: slesN.polygon.nt
И выбрать Create a new partition on this driver set
Затем Next.
На следующей странице необходимо выбрать в поле Import a configuration from the server (.XML file) : ActiveDirectory-IDM3_5-V1.xml и нажать Next.
На следующей странице необходимо ввести:
Driver name: winN
Authentication Method: Negotiate
Authentication Id: winN0/Administrator
Authentication Password: rootpass
Reenter the password:rootpass
Authentication Context: winN.winN.polygon.nt
Domain Name: dc=winN,dc=polygon,dc=nt
Domain DNS Name: winN.winN.polygon.nt
Driver Polling Interval: 1
Password Sync Timeout (minutes): 5
Driver is Local/Remote: Remote
Нажмите Next
Remote Host Name and Port: 192.168.16.16N:8090
Driver Password: rootpass
Reenter the password: rootpass
Remote Password: rootpass
Reenter the password: rootpass
Нажмите Next
Base container in eDirectory: polygon.nt
Publisher Placement: Flat
Base container in Active Directory: cn=users,dc=winN,dc=polygon,dc=nt
Active Directory Placement: Flat
Configure Data Flow: Bi-directional
Password Failure Notification User: admin.polygon.nt
Configure Entitlements: No
Нажмите Next
Exchange policy: None
Group membership policy: Synchronize
Нажмите Next
Name mapping policy selection: Accept
Нажмите Next
User Principal Name Mapping: Follow Active Directory e-mail address
Нажмите Next
Define Security Equals: admin.polygon.nt
Exclude Administrative Roles: admin.polygon.nt
Нажмите Next
Нажмите Finish with Overview
Нажмите левой кнопкой мыши на 
и выберите Edit Properties
В появившемся окне необходимо отредактировать два параметра:
Remote loader connection parameters: hostname=192.168.16.16N port=8090 kmo=slesNcert
и
Use SSL for encryption: Yes
Нажмите Применить, затем OK
Более подробно о других параметрах смотрите на этой странице.
При возникновении трудностей при определении некоторых параметров обратитесь к этой странице.
[править] Проверка настройки системы DNS
Если файл /etc/resolv.conf содержит следующее:
# cat /etc/resolv.conf domain polygon.nt nameserver 192.168.16.254
то его необходимо привести к такому виду:
# cat /etc/resolv.conf domain polygon.nt nameserver 192.168.16.16N
Проверка:
# ping ya.ru PING ya.ru (87.250.251.8) 56(84) bytes of data. 64 bytes from ya.ru (87.250.251.8): icmp_seq=1 ttl=49 time=209 ms
# ping winN.winN.polygon.nt PING winN.winN.polygon.nt (192.168.16.16N) 56(84) bytes of data. 64 bytes from winN.polygon.nt (192.168.16.16N): icmp_seq=1 ttl=128 time=15.9 ms 64 bytes from winN.polygon.nt (192.168.16.16N): icmp_seq=2 ttl=128 time=4.40 ms
[править] Настройка политик синхронизации паролей
[править] Краткая информация о политиках синхронизации паролей
Identity Manager обеспечивает двунаправленную синхронизацию пароля, используя Универсальный Пароль и поддержку соединённой системы для публикации (синхронизация от соединённой системы в Identity Vault) или для подписки (синхронизация от Identity Vault в соединённую систему) на пароли. Также как и на другие атрибуты учётной записи, существует возможность выбора авторитативного источника данных.
Способность к двунаправленной синхронизации пароля с определённой соединённой системой зависит от того, поддерживает ли её соединённая система.
Некоторые соединённые системы могут принимать новые и измененные пароли от Identity Manager, и могут также обеспечить пароль пользователя Identity Manager. Ниже перечислены системы, поддерживающие двунаправленную синхронизацию пароля с Identity Manager:
- Active Directory
- Novell® eDirectory
- Network Information Services (NIS)
- NT Domain
Для этих соединённых систем, пользователь может изменить пароль в одной из систем и синхронизировать пароль с другими системам через Identity Manager. Однако, если Вы используете Advanced Password Rules в политике пароля NMAS (Novell Modular Authentication Service), лучше сделать так, чтобы пользователи меняли пароль в меню самообслуживания сервиса User Application. Это - лучшее место для изменений пароля, потому что учитывает все политики, которым пароль пользователя должен отвечать и с этого места возможна синхронизация пароля в системы, не поддерживающие синхронизацию своих паролей в Identity Vault.
[править] Обновление существующего драйвера для поддержки политик синхронизации паролей
Для обновления необходимо на странице Функции и задачи в области навигации развернуть меню Identity Manager Utilities и выбрать пункт Import Configurations. На открывшейся странице необходимо с помощью иконки выбрать в поле In an existing driver set значение ActiveDirectory.polygon.nt и затем нажать Next.
На следующей странице, в разделе Additional Policies, необходимо выбрать пункт Password Synchronization 2.0 Policies и нажать Next.
На следующей странице необходимо выбрать драйвер для обновления: в поле Existing drivers: выберите созданный ранее драйвер winN и нажмите Next.
На следующей странице необходимо будет выбрать вариант обновления - выберите Update everything about that driver and policy libraries, после чего нажмите Next, потом Finish.
[править] Создание политики паролей и определение области ее действия
Для этого необходимо в области навигации развернуть меню Пароли и выбрать пункт Политики паролей.
На открывшейся странице необходимо кликнуть на ссылку Создать. В результате откроется мастер политики паролей.
В поле Имя политики: задается имя политики - задайте имя slesN. Кроме этого, необходимо выбрать пункт Создание новой политики паролей на основе параметров по умолчанию и затем нажмите Далее.
Далее откроется страница Резюме политики паролей. Нажмите Готово, затем Закрыть.
Теперь необходимо назначить область действия только что созданной политике. В текущем окне необходимо кликнуть по ссылке, совпадающей по названию с только что созданной политикой. Во всплывающем окне перейдите на закладку Назначение политики и при помощи иконки используйте меню выбора объекта. Выберете контейнер polygon.nt. Нажмите Применить, затем OK.
На этом настройка политик синхронизации паролей завершена.
[править] Запуск драйвера
Для обновления драйвера необходимо в меню навигации раскрыть меню Identity Manager и выбрать пункт Identity Manager Overview. В открывшейся странице необходимо выбрать Search entire directory и затем нажать Search.
Далее нажмите левой кнопкой мыши на и выберите Start driver.
В результате иконка должна поменяться на 
.
[править] Создание пользователей и проверка правильности синхронизации
[править] Установка пакета rdesktop
Для проверки правильности создания пользователей будет использоваться служба терминалов контроллера домена. Для подключения по протоколу rdp на контроллер домена необходимо на Suse Linux Enterprise Sever установить пакет rdesktop-1.5.0-20.i586.rpm, находящегося в каталоге /ISO. Сделать это можно при помощи следующей команды, запущенной с правами суперпользователя:
# rpm -ihv /ISO/rdesktop-1.5.0-20.i586.rpm Подготовка... ########################################### [100%] 1:rdesktop ########################################### [100%]
На этом установка пакета rdesktop завершена.
[править] Создание пользователя в Novell eDirectory
Для создания пользователя в eDirectory необходимо в меню навигации раскрыть меню Пользователи и выбрать пункт Создание объекта "Пользователь".
На открывшейся странице Создание объекта "Пользователь" необходимо заполнить следующие поля:
Имя пользователя: test
Фамилия: test
Контекст: polygon.nt
Пароль: P@ssw0rd
Введите пароль еще раз: P@ssw0rd
Примечание:Указанные выше поля являются минимально необходимыми, и на этой странице можно указать дополнительную информацию о создаваемом пользователе.
Нажмите внизу страницы OK - в результате чего откроется страница с информацией о выполненной операции: Выполнено. Запрос на создание пользователя успешно выполнен. Нажмите на этой станице OK.
На этом создание пользователя в eDirectory завешено.
[править] Проверка правильности синхронизации пользователя и его пароля
Для проверки факта создания пользователя необходимо открыть в Administrative Tools вкладку Active Directory Users and Computers, затем в открывшемся окне выбрать контейнер Users и проверить наличие пользователя test.
Если этот этап прошел успешно, то можно приступать к проверке правильности синхронизации пароля пользователя. Это можно сделать при помощи следующей команды, запущенной с правами пользователя user:
$ rdesktop -g 640x480 -u test -p P@ssw0rd winN
В результате выполнения этой команды откроется окно с рабочим столом пользователя test на Вашей Windows машине.
На этом проверка правильности синхронизации пользователя и его пароля завершена.