Xgu.ru теперь в Контакте  — приходите и подключайтесь.
Пока мы работаем над следующими видео, вы можете подключиться в Контакте. Познакомимся и обсудим новые страницы и ролики.

Vk-big.pngYoutube-big.jpeg

Полигон по Novell Identity Manager. Лабораторная работа

Материал из Xgu.ru

Перейти к: навигация, поиск
Автор: Сергей Черепенин
Короткий URL: IdM_lab

Содержание

[править] Подключение к виртуальной машине

Подключение к рабочему столу виртуальной машины с операционной системой SUSE Linux Enterprise Server 10 (i586)осуществляется с помощью программы vncviewer, которую можно запустить через меню Start - Programs - RealVNC - Run VNC Viewer. В открывшемся окне необходимо будет ввести DNS имя vnc сервера или его IP адрес и номер дисплея. Введите:

slesN:1
где здесь и далее: N - номер рабочего места слушателя (указывается инструктором).

Затем, в открывшемся окне, для регистрации необходимо ввести имя пользователя и его пароль:

username: user
password: password

[править] Установка и настройка Novell eDirectory

[править] Краткая информация о Novell eDirectory


Novell eDirectory (ранее служба каталогов Novell, Novell Directory Services) — это совместимая с X.500 служба каталогов, выпущенная в 1993 году компанией Novell, Inc. для централизованного управления доступом к ресурсам на множестве сетевых серверов.
eDirectory -- иерархическая, объектно-ориентированная база данных, представляющая все ресурсы организации в виде логического дерева. Ресурсами могут быть сотрудники, должности, серверы, рабочие станции, приложения, принтеры, службы, группы и т. д. Эффективное управление глобальным и точным доступом к ресурсам достигается за счёт использования динамического наследования прав и использования механизмов эквивалентности по правам. Права доступа для объектов в дереве определяются во время выполнения запроса и зависят от того, какие права назначены объекту явно, через эквиваленты по правам и благодаря местонахождению (контексту) объекта в дереве.

[править] Список поддерживаемых операционных систем

eDirectory может функционировать на серверах:

  • Windows NT
  • Windows 2000
  • Windows Server 2003
  • Sun Solaris
  • GNU/Linux
  • IBM AIX
  • Hewlett-Packard HP-UX
  • NetWare

Более подробно смотрите на Novell eDirectory.

[править] Установка Novell eDirectory

Установка выполняется скриптом, который необходимо запустить с правами суперпользователя:

# sh /media/IDM301/eDirectory_8.8/Linux/setup/nds-install

Далее необходимо согласиться с лицензионным соглашением:

%%% Do you accept the terms of Novell eDirectory 8.8.1 license agreement '[y/n/q] ? '

Необходимо согласится с лицензионным соглашением - наберите y и нажмите Enter.

Выбор компонентов установки:

%%% 1 Novell eDirectory Server
%%% 2 Novell eDirectory Administration Utilities
 
%%% Select the components you wish to install [?, q] :

Выберете оба варианта - наберите 1,2 и затем нажмите Enter.

После установки необходимо внести некоторые изменения в среду окружения. Сделать это проще всего путём редактирования и последующего выполнения файла ~root/.profile. В этот файл необходимо добавить следующие строки:

export PATH=/opt/novell/eDirectory/bin:/opt/novell/eDirectory/sbin:$PATH
export LD_LIBRARY_PATH=/opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:$LD_LIBRARY_PATH
export MANPATH=/opt/novell/man:/opt/novell/eDirectory/man:$MANPATH
export TEXTDOMAINDIR=/opt/novell/eDirectory/share/locale

Сделать это можно путём выполнения следующей команды:

cat <<NOVELL_ENV >> ~/.profile
export PATH=/opt/novell/eDirectory/bin:/opt/novell/eDirectory/sbin:$PATH
export LD_LIBRARY_PATH=/opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:$LD_LIBRARY_PATH
export MANPATH=/opt/novell/man:/opt/novell/eDirectory/man:$MANPATH
export TEXTDOMAINDIR=/opt/novell/eDirectory/share/locale
NOVELL_ENV

После этого необходимо внести изменения в текущую среду окружения:

. ~root/.profile

И после всех изменений необходимо проверить правильность настройки переменных окружения:

echo $LD_LIBRARY_PATH 
/opt/novell/eDirectory/lib:/opt/novell/eDirectory/lib/nds-modules:/opt/novell/lib:

На этом установка eDirectory завершена.

[править] Настройка Novell eDirectory


Настройка eDirectory выполняется программой ndsconfig. Так как у нас еще не настроена служба Novell eDirectory, то необходимо передать программе аргумент new:

# ndsconfig new

Во время выполнения этой команды будет задан ряд вопросов:

  • 1. Имя пользователя с привилегиями администратора:
Enter admin name with context[admin.org]:

В нашем случае - admin.polygon.nt

  • 2. Пароль администратора:
 
Enter the password for admin.polygon.nt:

rootpass

  • 3. Проверка пароля администратора:
Re-enter the password for admin.polygon.nt:

rootpass

  • 4. Имя создаваемого дерева:
Enter tree name[root-slesN-NDStree]:

TREEN

  • 5. Контекст сервера:
Enter server context[org]:

polygon.nt

  • 6. Выбор каталога для временного хранения данных:
Please enter the absolute path for the instance [ /var/opt/novell/eDirectory ]:

Необходимо принять в этом вопросе значение по умолчанию, указанном в квадратных скобках - нажмите Enter.

  • 7. Выбор каталога базы данных eDirectory
Please enter absolute path of the database directory [ /var/opt/novell/eDirectory/data/dib ]:

Также согласитесь со значением по умолчанию - нажмите Enter.

После окончания выполнения команды настройка Novell eDirectory завершена.

[править] Установка Security Services

Установка обновлений безопасности требует прав суперпользователя и остановленного сервиса eDirectory:

# /etc/init.d/ndsd stop && sh /media/IDM35/_Addons/SS204/install.sh

На вопрос

Are you sure you wish to continue? [y/N]

ответьте y и нажмите Enter.

После завершения работы скрипта вновь запустите сервис eDirectiry ndsd:

# /etc/init.d/ndsd start

На этом установка обновлений безопасности завершена.

[править] Установка и настройка Novell iManager

[править] Краткая информация о Novell iManager

Novell iManager обеспечивает глобальное представление сети одним web-инструментом, позволяя администратору предвидеть и удовлетворять постоянно изменяющиеся требования к сети. При помощи Novell iManager можно управлять

  • Novell Open Enterprise Server
  • Novell Identity Manager
  • Novell eDirectory и много других продуктов Novell, предоставляющих web-интерфейс управления при помощи браузера.


Кроме того продукт обеспечивает единый пункт администрирования для объектов каталога, схем, разделов, реплик и т.д. Централизованное web-управление устраняет избыточность задач администрирования, позволяя тем самым экономить и время и деньги.
Novell iManager также обеспечивает множество возможностей, существенно облегчающих администрирование сети. Наверное, самой важной особенностью iManager является возможность делегированного администрирования, которая позволяет назначать пользователей с определёнными задачами управления и обязанностями. Делегирование простых административных задач, таких как сброс паролей или добавления принтеров сети, позволяет администратору сети сосредоточиться на стратегических проектах, которые непосредственно влияют практический результат компании.
Ядро iManager базируется на технологии сервлетов и использует в качестве сервера приложений Tomcat, а Web-сервера – Apache. Использование таких популярных Open Source решений, позволяет iManager функционировать на множестве платформ:

Такая широкая поддержка операционных систем дает возможность выбора платформы и места развертывания консоли управления, что позволяет создавать и на высоком уровне управлять сложными гетерогенными сетями предприятия.

Преимуществами iManager по сравнению с другими инструментами (как от Novell, например, ConsoleOne/Nwadmin, так и от третьих компаний) является:

  • Клиентонезависимость (Windows ОС, Linux ОС и др.).
  • Поддежка популярных браузеров.
  • Ролевое администрирование.
  • Централизованное управление большинством решений Novell (включая Identity Manager) и некоторыми популярными OpenSource решениями (например, Samba, Apache).
  • Гибкость в настройке.
  • Единое средство как для разработки проекта, так и и для администрирования.

[править] Установка Novell iManager

Установка выполняется скриптом, запущенного с правами суперпользователя:

# sh /media/IDM301/iManager_2.6/Linux/iManagerInstallLinux.bin

После запуска скрипта на выполнение необходимо будет ответить на ряд вопросов:

  • 1. Выбор языка программы установки:
Choose Locale...
----------------

    1- English
  ->2- Русский

CHOOSE LOCALE BY NUMBER: 

Выберете Русский - нажимите цифру 2 и затем Enter.

  • 2. Лицензионное соглашение:

После прочтения лицензионного соглашения необходимо с ним согласиться:

ВЫ ПРИНИМАЕТЕ УСЛОВИЯ ЭТОГО ЛИЦЕНЗИОННОГО СОГЛАШЕНИЯ? (Д/Н)

Нажимите Д, затем Enter.

  • 3 Выбор компонентов установки:
Выбор компонентов
-----------------



  ->1- Novell iManager 2.6, Tomcat, JVM
    2- Tomcat, JVM
    3- JVM

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ 
   ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Согласитесь со значением по умолчанию (Novell iManager 2.6, Tomcat, JVM) - нажимите Enter.

  • 4. Загрузка подключаемых модулей. Для экономии времени мы не будем скачивать модули - мы их позже установим локально.
Установка подключаемых модулей
------------------------------

Загрузить подключаемые модули?

  ->1- Да
    2- Нет

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ 
   ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Нажимите 2, затем Enter.

  • 5. Установка модулей из локального хранилища:
Установка подключаемых модулей
------------------------------

Хотите установить подключаемые модули из локального каталога?

  ->1- Да
    2- Нет

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ 
   ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Мы будем использовать web-интерфейс для установки модулей, поэтому выберите 2 и нажмите Enter.

  • 6. Установка web-сервера:
Apache
------

Хотите, чтобы программа установки iManager настроила Tomcat с предустановленным Apache?

  ->1- Да
    2- Нет

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ 
   ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Согласитесь со значением по умолчанию - нажмите Enter.

  • 7. Настрока web-сервера:
Основной каталог Apache
-----------------------

Введите основной каталог Apache.  Каталог, содержащий файл httpd.conf.

Основной каталог Apache (DEFAULT: /etc/apache2): 

Согласитесь со значением по умолчанию - нажмите Enter.

  • 8. Настройка SSL:
Ошибка настройки SSL для Apache
-------------------------------

Программа установки не может настроить Apache, поскольку не настроен протокол 
SSL.  Отмените установку и настройте SSL либо продолжайте установку и 
пользуйтесь только Tomcat.

  ->1- Продолжение
    2- Отмена

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ НУЖНЫЙ ВАРИАНТ, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ 
   ПРИНЯТЬ ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Согласитесь со значением по умолчанию - нажмите Enter.

  • 9 Настройка портов web-сервера:
Получить номер PORT
-------------------

Введите номера портов, которые будут использоваться Tomcat.

TOMCAT HTTP PORT (DEFAULT: 8080): 

Согласитесь со значением по умолчанию - нажмите Enter.

TOMCAT SSL PORT (DEFAULT: 8443):

Согласитесь со значением по умолчанию - нажмите Enter.

TOMCAT JK CONNECTOR PORT (DEFAULT: 9009):

Согласитесь со значением по умолчанию - нажмите Enter.

  • 10. Сведения об администраторе eDirectory:
Сведения об авторизованном пользователе
---------------------------------------

Введите полный контекст и дерево авторизованного пользователя для управления.

Контекст пользователя (например admin.novell) (DEFAULT: none)

Во время настройки Novell eDirectory была указана учетная запись admin.polygon.nt. Введите это значение и нажмите Enter.

Дерево (например MY_TREE) (DEFAULT: none):

Ввелите значение TREEN, которое было введено при настройке Novell eDirectory и нажмите Enter.

  • 11. Предустановочное резюме:
Предустановочное резюме
-----------------------

Перед продолжением проверьте следующее:

Novell iManager 2.6 :
     novell-imanager,novell-plugin-base
Tomcat :
     novell-base,novell-tomcat4,novell-tomcat4-webapps
JVM :
     novell-j2sdk
Подключаемые модули для загрузки : 
     
Существующая: :
     
Подключаемые модули для копирования :
     

Административный пользователь и контекст : admin.polygon.nt
Дерево : TREEN
HTTP-порт Tomcat: 8080
Порт Tomcat SSL : 8443
Порт соединителя Tomcat JK : 9009
Основной каталог Apache : /etc/apache2
Каталог для копирования подключаемых модулей : 

  ->1- Щелкните "ОК" для продолжения
    2- Внести изменения

ВВЕДИТЕ ЦИФРУ, ПРЕДСТАВЛЯЮЩУЮ ВАШ ВЫБОР, ИЛИ НАЖМИТЕ <ENTER>, ЧТОБЫ ПРИНЯТЬ 
   ВАРИАНТ ПО УМОЛЧАНИЮ.: 

Согласитесь со значением по умолчанию - нажмите Enter.

  • 12. Завершение установки:
Установка завеpшена
-------------------

Поздравляем! Установка Novell iManager 2.6 успешно завершена.

НАЖМИТЕ <ENTER> ДЛЯ ПРОДОЛЖЕНИЯ: 

Для выхода из программы инсталляции нажмте Enter.

На этом устанока iManager завершена.

[править] Установка обновлений Novell iManager

После установки Novell iManager и Tomcat-сервера на порту 8080 по адресу http://slesN:8080/nps доступен web-интерфейс управления Novell iManager. Откройте в браузере эту страницу. На странице регистрации необходимо ввести следующую информацию:

Имя пользователя: admin.polygon.nt

Пароль: rootpass

Дерево: TREEN

Стартовая страница будет "Функции и задачи".
Нам необходимо перейти в раздел "Настройка". Переход осуществляется путём нажатия на иконку But configure2d.gif в верхней части страницы.

Далее в меню навигации необходимо развернуть меню "Установка подключаемых модулей" и выбрать пункт "Доступные подключаемые модули Novell". Затем, через меню "Добавить" при помощи кнопки "Обзор" выберите из каталога /ISO/iManager_Updates/два файла:

  • iMan26.npm
  • sp3_iman26.npm

Далее, отметьте эти два модуля, путём установки галочек напротив соответствующего модуля, и нажмите "Установка"

После завершения установки необходимо выйти из iManager с помощью иконки But Exit2d.gif и перестартовать web-сервер tomcat при помощи команды в терминале от имени суперпользователя:

# /etc/init.d/novell-tomcat4 restart

На этом установка обновлений Novell iManager завершена.

[править] Установка подключаемых модулей Novell iManager

Вновь зарегистрируйтесь в Novell iManager, перейдите в раздел "Настройка", разверните меню "Установка подключаемых модулей" и выберите пункт "Доступные подключаемые модули Novell". Затем, через меню "Добавить" при помощи кнопки "Обзор" выберите из каталога /ISO/iManager_Plugins/пять файлов:

  • eDir_88_iMan26_Plugins.npm
  • identity_manager_plugins.npm
  • naudit.npm
  • nmas_3.1.2.npm
  • pki_3.2.0.1.npm

Далее отметьте эти модули для установки и нажмите "Установка"

После установки подключаемых модулей нажмите на кнопку "Закрыть", затем выйдете из Novell iManager и рестартуйте web-сервер tomcat:

# /etc/init.d/novell-tomcat4 restart

На этом установка подключаемых модулей Novell iManager завершена.

[править] Установка Novell Identity Manager

[править] Краткая информация о Novell Identity Manager

Novell Identity Manager — решение для унификации управления пользователями в корпоративной сети. Identity Manager выполняет автоматическую синхронизацию учётных записей пользователей между разнородными службами каталогов и базами данных, как внутри предприятия, так и между различными предприятиями.

Identity Manager поддерживает большое количество драйверов для подключения к различным системам, среди которых:

  • Приложения:
    • Baan
    • HP Service Desk (Partner Developed Driver)
    • J.D.Edwards
    • Lawson
    • Oracle
    • Peoplesoft
    • SAP HR
    • SAP R/3 4.6 and SAP Enterprise Systems (BASIS)
    • SAP Web Application Server (Web AS) 6.20
    • Siebel
    • Sugar CRM (Partner Developed Driver)
  • Базы данных:
    • IBM DB2
    • Informix
    • Microsoft SQL Server
    • MySQL
    • Oracle
    • Sybase
    • JDBC
  • Каталоги
    • Critical Path InJoin Directory
    • IBM Directory Server (SecureWay)
    • iPlanet Directory Server
    • Microsoft Active Directory
    • Netscape Directory Server
    • NIS
    • NIS +
    • Novell eDirectory
    • Oracle Internet Directory
    • Sun ONE Directory Server
    • LDAP
  • Почтовые системы:
    • Microsoft Exchange 2000
    • Microsoft Exchange 5.5
    • Novell GroupWise
    • Lotus Notes
  • Операционные системы:
    • SUSE Linux Enterprise
    • Debian Linux
    • FreeBSD
    • HP-UX
    • IBM AIX
    • Microsoft Windows NT Domain
    • Red Hat AS and ES
    • Red Hat Linux
    • Solaris
    • UNIX Files - /etc/passwd


Более подробный список доступен на странице Identity Manager Drivers сайта компании Novell.
О возможностях Novell Identity Manager можно прочитать на странице Identity Manager Compare на сайте компании Novell.

Novell Identity Manager позволяет

  • автоматически предоставлять, изменять или отзывать разрешения пользователя на доступ во всех системах в реальном времени;
  • снизить число паролей, которые необходимо помнить пользователям;
  • осуществлять глобальной политики управления паролями;
  • использовать как централизованное так и распределённое управление различными параметрами учётных записей.

Подключаемые модули управления Novell Identity Manager для Novell iManager предоставляют возможность создания политик нового типа - так называемых политик управления правами на основе ролей (Entitlements). Функция Entitlements позволяет назначать для персоны или группы критерии, при удовлетворении которых инициируется событие по предоставлению или ликвидации прав доступа к ресурсам организации в синхронизируемых системах.

[править] Установка Novell Identity Manager

Установка Novell Identity Manager выполняется скриптом, запущенным в терминале от имени суперпользователя:

# sh /media/IDM35/linux/setup/idm_linux.bin

В процессе установки необходимо будет ответить на ряд вопросов:

  • 1. Выбор языка установки:
Choose Locale...
----------------

    1- English

CHOOSE LOCALE BY NUMBER: 

Нажмите1 и затем Enter.

  • 2. Предварительная информация:
Introduction
------------

Welcome to the Novell Identity Manager 3.5 installation.

Depending on your system configuration, you may need to run this installation 
program several times to install Identity Manager components on the appropriate
systems. These systems might include the following:

* Metadirectory Server
* Connected System Server
* Web-based Administrative Server


PRESS <ENTER> TO CONTINUE: 

Нажимите Enter.

  • 3. После прочтения лицензионного соглашения необходимо с ним согласиться:
DO YOU ACCEPT THE TERMS OF THIS LICENSE AGREEMENT? (Y/N):

Нажмите Y, затем Enter.

  • 4. Выбор типа установки:
Choose Install Set
------------------

Please choose the Install Set to be installed by this installer.

  ->1- Metadirectory Server
    2- Connected System Server
    3- Web-based Administrative Server

    4- Customize...

ENTER THE NUMBER FOR THE INSTALL SET, OR PRESS <ENTER> TO ACCEPT THE DEFAULT

Выберите Customize путём нажатия цифры 4 и клавиши Enter.

  • 5. Выбор модулей установки:
Choose Product Features
-----------------------

ENTER A COMMA_SEPARATED LIST OF NUMBERS REPRESENTING THE FEATURES YOU WOULD 
LIKE TO SELECT, OR DESELECT. TO VIEW A FEATURE'S DESCRIPTION, ENTER 
'?<NUMBER>'.  PRESS <RETURN> WHEN YOU ARE DONE:

    1- [X] Metadirectory Engine
    2- [ ] Remote Loader
    3- [X] Avaya Driver
    4- [X] Delimited Text Driver
    5- [X] eDirectory Driver
    6- [X] Groupwise Driver
    7- [X] JDBC Driver
    8- [X] JMS Driver
    9- [X] LDAP Driver
   10- [X] Linux/UNIX Bidirectional Driver
   11- [X] Linux/UNIX Settings Driver
   12- [X] Lotus Notes Driver
   13- [X] PeopleSoft Driver
   14- [X] RACF Driver
   15- [X] Remedy Driver
   16- [X] SAP Driver
   17- [X] SOAP Driver
   18- [X] Top Secret Driver
   19- [ ] Identity Manager Plug-ins
   20- [ ] Identity Manager Driver Configurations

Please choose the Features to be installed by this installer.

К уже выделенным модулям необходимо необходимо добавить Identity Manager Plug-ins и Identity Manager Driver Configurations.
Наберите 19,20 и затем нажмите Enter.

  • 6. Предупреждение о необходимости активации:
Identity Manager Activation Notice!
-----------------------------------

Identity Manager components require activation and must be activated within 90 
days of installation, otherwise they will time out.  Purchasing a component 
authorizes you to request and receive activation credentials which are required
to activate the product.

PRESS <ENTER> TO ACCEPT THE FOLLOWING (OK): 

Нажмите Enter.

  • 7. Ввод регистрационной информации:
Authentication
--------------

Enter the credentials of a user with rights to extend the eDirectory schema and install iManager plug-ins.

User name in LDAP Format (Example: CN=admin,O=novell). (DEFAULT: )

Введите пользователя, указанного при настройке eDirectory в LDAP формате:

cn=admin,ou=polygon,o=nt

Пароль для указанного пользователя:

Enter User Password:

Введите пароль, указанный при настройке eDirectory:

rootpass

  • 8. Предустановочное резюме:
Pre-Installation Summary
------------------------

Please Review the Following Before Continuing:

Install Set
    Custom

Product Components:
    Metadirectory Engine,
    Avaya Driver,
    Delimited Text Driver,
    eDirectory Driver,
    Groupwise Driver,
    JDBC Driver,
    JMS Driver,
    LDAP Driver,
    Linux/UNIX Bidirectional Driver,
    Linux/UNIX Settings Driver,
    Lotus Notes Driver,
    PeopleSoft Driver,
    RACF Driver,
    Remedy Driver,
    SAP Driver,
    SOAP Driver,
    Top Secret Driver,
    Identity Manager Plug-ins,
    Identity Manager Driver Configurations



PRESS <ENTER> TO CONTINUE: 

Нажмите Enter для продолжения.

  • 9. Постинсталляционное резюме:
Installation Complete
---------------------

Congratulations. Novell Identity Manager 3.5 has been successfully installed 
onto your system.

If you have installed Identity Manager Plug-ins, please restart your 
Application server.

PRESS <ENTER> TO EXIT THE INSTALLER: 

Нажмите Enter для выхода из инсталляционной программы и перезапустите web-сервер tomcat:

# /etc/init.d/novell-tomcat4 restart

На этом установка Novell Identity Manager завершена.

[править] Настройка Сервиса Административных Функций

[править] Краткая информация о Role-Based Services

iManager дает возможность назначения определённых обязанностей пользователям и предоставлять им инструменты (и сопровождающие их права), необходимые для выполнения определённого набора обязанностей. Эти функциональные возможности называют Role-Based Services (RBS) - Сервис административных функций.

Сервис административных функций - ряд расширений к схеме eDirectory. RBS определяет несколько классов объекта и признаков, которые обеспечивают механизм предоставления пользовательского доступа к задачам управления, основанным на роли пользователя в организации. Это дает возможность доступа пользователей к только тем задачам, которые они могут выполнять. RBS предоставляет только те права, которые необходимы для выполнения назначенных задач.

Основная функция RBS - создание определённых ролей в пределах организации. Роли содержат задачи, которые пользователь может выполнить. Например, администратор может назначить роль пользователю, который будет выполнять задачи создания нового пользователя или изменения пароля в пределах iManager. Задачи быть привязаны к ролям, но могут быть заменены, повторно назначены, или удалены в целом. Кроме того, пользователи связаны с ролями в указанных возможностях, которые являются контейнерными объектами в дереве, а пределах которого пользователь имеет необходимые права для выполнения поставленной задачи.

Роль требует, чтобы тройная ассоциация роли, членов, и возможностей была полной. Объект Роли RBS создает ассоциацию между пользователями и задачами. Администратор предоставляет пользовательский доступ к задаче, делая пользователя членом роли, на которую назначена задача. Пользователю роль может быть назначена одним из следующих способов:

  • Непосредственно как пользователь
  • Через группу и динамические назначения группы. Если пользователь - член группы или динамической группы, которой назначена определённая роль, то пользователь имеет доступ к этой роли.
  • Через назначение роли организационному подразделению. Если пользователь - член организационного подразделения, которому назначена роль, то пользователь имеет доступ к этой роли.
  • Через назначение роли контейнеру. Пользователь имеет доступ ко всем ролям, что его родительский контейнер (включая также другие контейнеры вверх по иерархии до корня дерева).

Пользователь может быть связан с ролью в разные интервалы времени, и каждый из интервалов с различными возможностями.

[править] Настройка Role-Based Services

Для настройки этого сервиса необходимо зарегистрироваться в Novell iManager, перейти в раздел "Настройка", кликнув мышью на иконке But configure2d.gif в верхней части страницы, раскрыть меню "Сервис административных функций" и выбрать пункт "Конфигурация RBS".

На данной странице будет уведомление о необходимости запустить "Мастер настройки сервиса административных функций". Нажмите на эту ссылку.

В начале будет страница приветствия - нажмите кнопку "Далее"

На следующей странице необходимо будет ввести расположение этого сервиса. Нажмите на иконку Os1.gif - в результате будет открыто всплывающее окно, где необходимо будет выбрать контейнер nt. Затем нажмите кнопку "Далее".

На следующей странице необходимо будет ввести область действия этого сервиса и выбрать "Устанавливаемые модули". Нажмите на кнопку "Выбрать все" и с помощью иконки Os1.gif выберите область действия - контейнер nt. Затем нажмите на кнопку "Запуск"

После того, как операция обновления завершена, нажмите на кнопку "Закрыть" для завершения настройки сервиса административных функций.

[править] Подготовка необходимых данных и файлов для настройки драйвера связи с Active Directory

[править] Подготовка сертификата сервера

Этот этап необходим для установки ldap соединения в защищенном ssl канале с Active Directory. Это соединение будет создаваться с использованием сертификата сервера, на котором установлена Novell eDirectory.

Для создания сертификата сервера необходимо перейти на страницу "Функции и задачи", кликнув на иконку But tasks2d1.gif в верхней части страницы, раскрыть в меню навигации меню "Novell Certificate Server" и выбрать пункт "Create Server Certificate". На этой странице необходимо будет определить следующие параметры:

  • выбор сервера:

c помощью иконки Os1.gifнеобходимо вызвать всплывающее окно и в нем выбрать в контейнере nt организационное подразделение polygon и далее - сервер slesN

  • имя сертификата:

В поле "Nickname" необходимо указать имя сертификата. Это может быть любое слово, желательно отображающее назначение данного сертификата. Наберите имя slesNcert

  • выбор метода создания сертификата "Creation method".


Выберете метод создания сертификата с параметрами по умолчанию - отмечаем поле "Standard"

Нажмите кнопку "Далее"

На следующей странице будут показаны параметры, с которыми будет создан сертификат.
Нажмите кнопку "Готово"

На этом подготовка сертификата сервера завершена. Нажмем "Закрыть".

[править] Экспорт сертификата

Экспорт сертификата необходим для получения файла с сертификатом, для последующего копирования его на контроллер домена Active Directory.

Для экспорта необходимо, находясь на странице "Функции и задачи", раскрыть в меню навигации меню "Администрирование Каталога" и выбрать пункт "Изменение объекта".

На открывшейся странице, используя иконку Os1.gif, выбрать корневой раздел, в нем развернуть контейнер Security и там выбрать TREEN CA. Затем нажмите кнопку "OK"

В результате откроется страница "Изменение объекта: Certificate Authority TREEN CA.Security", на которой необходимо перейти на вкладку "Certificates".

Далее необходимо выбрать "Self Signed Certificate" путём установки галочки напротив этого поля и нажать на "Export". В результате откроется страница экспорта, где необходимо будет снять галочку с поля "Export private key" и выбрать формат сертификата "BASE64" в поле "Export format".

Затем нажмите "Далее" и нажмите на ссылку "Save exported certificate" и сохраните его. Этот файл сохранится на рабочий стол с именем "cert.64b".

На этом экспорт сертификата завершен. Теперь его необходимо скопировать на контроллер домена Active Directory.

Запустите браузер Konqueror, в адресной строке введите smb://Administrator@winN/c$ и перейдите по этой ссылке. Далее будет предложено ввести пароль:

password: rootpass

Далее мышью перетащите файл cert.64b в открывшееся окно и выберите во всплывающем меню Копировать сюда. Файл будет скопирован в корень диска С.

[править] Установка и настройка Remote Loader на контроллере домена

[править] Краткая информация о Remote Loader

DirXML Remote Loader связывает DirXML драйверы, запущенных на различных платформах, и Metadirectory engine. В свою очередь Metadirectory engine обеспечивает интерфейс, который позволяет драйверам Identity Manager синхронизировать информацию с Identity Vault (eDirectory). Например, DirXML драйвер для Active Directory устанавливается и выполняется на платформе Windows. Благодаря Remote Loader происходит двухсторонняя синхронизация объектов Active Directory и объектов eDirectory. Remote Loader выступает в качестве промежуточного звена в этом потоке данных между соответствующим драйвером Identity Manager и Active Directory. Если есть необходимость синхронизации данных между Active Directory и, например, каталога iPlanet (Sun), то необходимо установить и настроить Remote Loader на платформе с iPlanet и на Windows с Active Directory, настроить драйверы Identity Manager для этих каталогов и определить правила синхронизации данных в информационном потоке между этими двумя соединёнными системами. Тогда поток данных будет проходить так:
Active Directory <--> Remote Loader для Active Directory <--> Identity Manager Driver для Active Directory <--> eDirectory <--> Identity Manager Driver для платформы с iPlanet <--> Remote Loader для iPlanet <--> iPlanet
Remote Loader условно можно разделить на две составляющие:

  • Driver Shim или просто драйвер
  • Loader составляющая

Driver Shim учитывает всю специфику работы с каталогом или системой, для которой он предназначен, а составляющая Loader - отвечает за организацию и поддержание канала связи на надлежащем уровне между Driver Shim и драйвером Identity Manager.

[править] Установка Remote Loader

Для запуска программы инсталляции необходимо в меню Run выполнить команду:

E:/nt/install.exe

В результате запустится программа установки и первым открывшимся окном будет окно информативного характера - нажмите Next.

Далее - лицензионное соглашение. Нажмите I Accept.

Затем два окна с информацией о возможных вариантах установки - нажмите на каждом из них Next.

Далее окно с выбором компонентов установки - выберите только Novell Identity Manager Connected System, предварительно сняв галочки с остальных компонентов.

В следующем окне необходимо выбрать папку установки - согласитесь со значением по умолчанию и нажмите Next.

Далее - выбор набора драйверов для установки. Выберете в разделе Identity Manager Drivers только пункт Active Directory и в разделе Remote Loader выберите Remote Loader Services.

Следующее окно информативного характера, сообщающее о необходимости активации. Нажмите OK.

Следующее окно также информативного характера, сообщающее о поддержке Password Syncronization 2.0. Нажмите OK.

Следующее окно покажет какие компоненты будут установлены. Нажмите Finish.

После завершения инсталляции будет еще одно окно - спрашивающее о необходимости создать ярлык на рабочем столе. Нажмите Yes.

На этом установка Remote Loader завершена.

[править] Настройка синхронизации паролей

После установки Remote Loader в панели управления появился пункт Identity Manager PassSync. Запустите этот сервис.

Перед тем, как откроется окно настройки этого сервиса, появится окно, спрашивающее тот ли это компьютер, на котором установлен сервис Remote Loader? Ответьте Yes.

В результате откроется окно настройки данного сервиса. С помощью кнопки Add в поле Domain выберите имя домена WINN0, а поле Computer оставьте пустым и нажмите OK.

В следующем окне будет задан вопрос - хотим ли мы использовать DNS имя для данного хоста? - ответьте Yes.

Теперь в окне Password Synchronization, выделив строку с именем хоста, нажмите на кнопку Filters.

Откроется новое окно Password Filters on winN.polygon.nt, где необходимо будет выделить контроллер домена и нажать на кнопку Add.

Нажмите OK - закроется окно Password Synchronization for domain.

Затем в окне Password Synchronization нажмите OK и тем самым закройте его.

На этом настройка синхронизации паролей завешена. После проделанных операций необходимо перезагрузить Windows.

[править] Настройка Remote Loader


Запускаем Remote Loader Console с помощью соответствующей иконки на рабочем столе.

В открывшемся окне нажимаем кнопку Add - откроется окно настройки драйвера.

В этом окне необходимо будет ввести следующую информацию:

Description: winN0 - Имя драйвера
Driver: C:\Novell\RemoteLoader\ADDriver.dll - файл библиотеки драйвера
IP Address: 192.168.16.16N - адрес для прослушивания драйвером
Connection Port: 8090 - порт для прослушивания драйвером на интерфейсе IP Address
Command Port: 8000 - порт взаимодействия Remote Loader с синхронизируемым приложением
Remote Loader Password: rootpass - пароль для контроля доступа к Remote Loader
Driver Object Password: rootpass - пароль для аутентификации Remote Loader в iManager
Включить SSL - установив соответствующем месте галочку и выбрать файл С:\cert.b64 в поле Trusted Root File
Trace Level 1 - уровень вывода отладочной информации в лог файл Trace File
Остальные параметры оставляем равным значениям по умолчанию.

Завершение настройки драйвера путём нажатия OK.

На вопрос - хотим ли мы запустить сервис сейчас отвечаем Yes.

На этом настройка Remote Loader завершена.

[править] Импорт самоподписного сертификата

Для импорта самоподписного сертификата необходимо в меню Run дать команду mmc. Затем нажмите Ctrl+M - откроется окно добавления оснастки.

Выберете оснастку Certificates для My user account путём нажатия кнопки Add.

Разверните Certificates Current User далее - разверните Trusted Root Certification Authorities.

На Certificates кликнете правой кнопкой мыши и в появившемся контекстном меню выберите All Tasks - Import.

С помощью мастера импорта сертификатов выберите сертификат cert.b64, находящегося на диске С. Для этого необходимо будет в окне выбора файла выбрать тип - все файлы.

После нажатия кнопки Finish на появившееся предупреждение необходимо ответить Yes.

Теперь можно закрыть консоль mmc.

На этом импорт сертификата завершен.

[править] Подготовка домена к синхронизации

Синхронизация учётных записей будет осуществляться между двумя объектами - организационное подразделение polygon.nt в eDirectory и контейнером Users в Active Directory. Для проверки правильности синхронизации будем использовать службу терминалов на контроллере домена Active Directory вновь созданными пользователями. Удачная регистрация на Windows машине будет означать безошибочную синхронизацию учётных записей. Так как синхронизация будет проходить с контейнером Users в Active Directory, то для предоставления возможности регистрироваться по rdp протоколу всем пользователям в этом контейнере, необходимо включить его в группу Remote Desktop Users, находящуюся в контейнере Builtin. Кроме этого, необходимо кликнуть на корневом контейнере дерева домена и выбрать Properties, затем перейти на вкладку Group Policy, выделить Default Domain Policy и нажать Edit. В открывшемся окне развернуть Computer Configuration, затем развернуть Windows Settings, затем Security Settings, затем Local Policies и выбрать User Rigths Assignmet. В открывшемся списке политик необходимо открыть политику Allow log on through Terminal Services, поставить галочку напротив Define these policy settings и нажать на Add User or Group. В открывшемся окне Add User or Group, в поле User and group names, необходимо внести WINN0\Domain Users нажать OK, и затем снова нажать OK в окне Allow log on through Terminal Services. После этого необходимо применить сделанные изменения путем выполнения команды gpupdate /force в командной строке.
Теперь все участники этой группы могут использовать службу терминалов для регистрации на контроллере домена.

На этом подготовка контроллера домена к синхронизации завершена.

[править] Настройка драйвера в Novell iManager

[править] Краткая информация о драйверах Novell Identity Manager

Драйверы Novell Identity Manager определяют принципы и правила передачи информации между Novell eDirectory и соединёнными системами. Кроме этого, при включении опции Identity Manager Driver Configurations при установке Novell Identity Manager, появляется возможность импорта Driver Configuration File - файла конфигурации драйвера, вместо ручной его настройки. Driver Configuration File это заранее сконфигурированный XML файл, который администратор может импортировать с помощью мастера Novell iManager или Novell Identity Designer в качестве шаблона для дальнейшей конфигурации драйвера. Это значительно сокращает время настройки драйвера.

[править] Настройка драйвера

Для настройки драйвера необходимо зайти браузером на страницу http://slesN:8080/nps и зарегистрироваться в iManager используя следующие регистрационные данные:

Имя пользователя: admin.polygon.nt
Пароль: rootpass
Дерево: TREEN

Далее, в области навигации необходимо раскрыть меню Identity Manager Utilities и выбрать пункт New Driver.

В результате будет открыта страница Welcome to the New Driver Wizard, где необходимо выбрать расположение In a new driver set и нажать кнопку Next.

На следующей странице необходимо ввести:

Name: ActiveDirectory
Context: polygon.nt
Server: slesN.polygon.nt
И выбрать Create a new partition on this driver set

Затем Next.

На следующей странице необходимо выбрать в поле Import a configuration from the server (.XML file) : ActiveDirectory-IDM3_5-V1.xml и нажать Next.

На следующей странице необходимо ввести:

Driver name: winN
Authentication Method: Negotiate
Authentication Id: winN0/Administrator
Authentication Password: rootpass
Reenter the password:rootpass
Authentication Context: winN.winN.polygon.nt
Domain Name: dc=winN,dc=polygon,dc=nt
Domain DNS Name: winN.winN.polygon.nt
Driver Polling Interval: 1
Password Sync Timeout (minutes): 5
Driver is Local/Remote: Remote


Нажмите Next

Remote Host Name and Port: 192.168.16.16N:8090
Driver Password: rootpass
Reenter the password: rootpass
Remote Password: rootpass
Reenter the password: rootpass

Нажмите Next

Base container in eDirectory: polygon.nt
Publisher Placement: Flat
Base container in Active Directory: cn=users,dc=winN,dc=polygon,dc=nt
Active Directory Placement: Flat
Configure Data Flow: Bi-directional
Password Failure Notification User: admin.polygon.nt
Configure Entitlements: No

Нажмите Next

Exchange policy: None
Group membership policy: Synchronize

Нажмите Next

Name mapping policy selection: Accept

Нажмите Next

User Principal Name Mapping: Follow Active Directory e-mail address

Нажмите Next

Define Security Equals: admin.polygon.nt
Exclude Administrative Roles: admin.polygon.nt

Нажмите Next

Нажмите Finish with Overview

Нажмите левой кнопкой мыши на DriverNotRunning.gif и выберите Edit Properties

В появившемся окне необходимо отредактировать два параметра:

Remote loader connection parameters: hostname=192.168.16.16N port=8090 kmo=slesNcert

и

Use SSL for encryption: Yes

Нажмите Применить, затем OK

Более подробно о других параметрах смотрите на этой странице.

При возникновении трудностей при определении некоторых параметров обратитесь к этой странице.

[править] Проверка настройки системы DNS

Если файл /etc/resolv.conf содержит следующее:

# cat /etc/resolv.conf 
domain polygon.nt
nameserver 192.168.16.254

то его необходимо привести к такому виду:

# cat /etc/resolv.conf 
domain polygon.nt
nameserver 192.168.16.16N

Проверка:

# ping ya.ru
PING ya.ru (87.250.251.8) 56(84) bytes of data.
64 bytes from ya.ru (87.250.251.8): icmp_seq=1 ttl=49 time=209 ms
# ping winN.winN.polygon.nt
PING winN.winN.polygon.nt (192.168.16.16N) 56(84) bytes of data.
64 bytes from winN.polygon.nt (192.168.16.16N): icmp_seq=1 ttl=128 time=15.9 ms
64 bytes from winN.polygon.nt (192.168.16.16N): icmp_seq=2 ttl=128 time=4.40 ms

[править] Настройка политик синхронизации паролей

[править] Краткая информация о политиках синхронизации паролей

Identity Manager обеспечивает двунаправленную синхронизацию пароля, используя Универсальный Пароль и поддержку соединённой системы для публикации (синхронизация от соединённой системы в Identity Vault) или для подписки (синхронизация от Identity Vault в соединённую систему) на пароли. Также как и на другие атрибуты учётной записи, существует возможность выбора авторитативного источника данных.

Способность к двунаправленной синхронизации пароля с определённой соединённой системой зависит от того, поддерживает ли её соединённая система.

Некоторые соединённые системы могут принимать новые и измененные пароли от Identity Manager, и могут также обеспечить пароль пользователя Identity Manager. Ниже перечислены системы, поддерживающие двунаправленную синхронизацию пароля с Identity Manager:

  • Active Directory
  • Novell® eDirectory
  • Network Information Services (NIS)
  • NT Domain

Для этих соединённых систем, пользователь может изменить пароль в одной из систем и синхронизировать пароль с другими системам через Identity Manager. Однако, если Вы используете Advanced Password Rules в политике пароля NMAS (Novell Modular Authentication Service), лучше сделать так, чтобы пользователи меняли пароль в меню самообслуживания сервиса User Application. Это - лучшее место для изменений пароля, потому что учитывает все политики, которым пароль пользователя должен отвечать и с этого места возможна синхронизация пароля в системы, не поддерживающие синхронизацию своих паролей в Identity Vault.

[править] Обновление существующего драйвера для поддержки политик синхронизации паролей

Для обновления необходимо на странице Функции и задачи в области навигации развернуть меню Identity Manager Utilities и выбрать пункт Import Configurations. На открывшейся странице необходимо с помощью иконки Os1.gif выбрать в поле In an existing driver set значение ActiveDirectory.polygon.nt и затем нажать Next.

На следующей странице, в разделе Additional Policies, необходимо выбрать пункт Password Synchronization 2.0 Policies и нажать Next.

На следующей странице необходимо выбрать драйвер для обновления: в поле Existing drivers: выберите созданный ранее драйвер winN и нажмите Next.

На следующей странице необходимо будет выбрать вариант обновления - выберите Update everything about that driver and policy libraries, после чего нажмите Next, потом Finish.

[править] Создание политики паролей и определение области ее действия

Для этого необходимо в области навигации развернуть меню Пароли и выбрать пункт Политики паролей.

На открывшейся странице необходимо кликнуть на ссылку Создать. В результате откроется мастер политики паролей.

В поле Имя политики: задается имя политики - задайте имя slesN. Кроме этого, необходимо выбрать пункт Создание новой политики паролей на основе параметров по умолчанию и затем нажмите Далее.

Далее откроется страница Резюме политики паролей. Нажмите Готово, затем Закрыть.

Теперь необходимо назначить область действия только что созданной политике. В текущем окне необходимо кликнуть по ссылке, совпадающей по названию с только что созданной политикой. Во всплывающем окне перейдите на закладку Назначение политики и при помощи иконки Os1.gif используйте меню выбора объекта. Выберете контейнер polygon.nt. Нажмите Применить, затем OK.

На этом настройка политик синхронизации паролей завершена.

[править] Запуск драйвера


Для обновления драйвера необходимо в меню навигации раскрыть меню Identity Manager и выбрать пункт Identity Manager Overview. В открывшейся странице необходимо выбрать Search entire directory и затем нажать Search.

Далее нажмите левой кнопкой мыши на DriverNotRunning.gif и выберите Start driver.

В результате иконка должна DriverNotRunning.gif поменяться на DriverRunning.gif.

[править] Создание пользователей и проверка правильности синхронизации

[править] Установка пакета rdesktop

Для проверки правильности создания пользователей будет использоваться служба терминалов контроллера домена. Для подключения по протоколу rdp на контроллер домена необходимо на Suse Linux Enterprise Sever установить пакет rdesktop-1.5.0-20.i586.rpm, находящегося в каталоге /ISO. Сделать это можно при помощи следующей команды, запущенной с правами суперпользователя:

# rpm -ihv /ISO/rdesktop-1.5.0-20.i586.rpm 
Подготовка...     ########################################### [100%]
   1:rdesktop               ########################################### [100%]

На этом установка пакета rdesktop завершена.

[править] Создание пользователя в Novell eDirectory

Для создания пользователя в eDirectory необходимо в меню навигации раскрыть меню Пользователи и выбрать пункт Создание объекта "Пользователь". На открывшейся странице Создание объекта "Пользователь" необходимо заполнить следующие поля:

Имя пользователя: test
Фамилия: test
Контекст: polygon.nt
Пароль: P@ssw0rd
Введите пароль еще раз: P@ssw0rd


Примечание:Указанные выше поля являются минимально необходимыми, и на этой странице можно указать дополнительную информацию о создаваемом пользователе.

Нажмите внизу страницы OK - в результате чего откроется страница с информацией о выполненной операции: Выполнено. Запрос на создание пользователя успешно выполнен. Нажмите на этой станице OK.

На этом создание пользователя в eDirectory завешено.

[править] Проверка правильности синхронизации пользователя и его пароля

Для проверки факта создания пользователя необходимо открыть в Administrative Tools вкладку Active Directory Users and Computers, затем в открывшемся окне выбрать контейнер Users и проверить наличие пользователя test.

Если этот этап прошел успешно, то можно приступать к проверке правильности синхронизации пароля пользователя. Это можно сделать при помощи следующей команды, запущенной с правами пользователя user:

$ rdesktop -g 640x480 -u test -p P@ssw0rd winN

В результате выполнения этой команды откроется окно с рабочим столом пользователя test на Вашей Windows машине.

На этом проверка правильности синхронизации пользователя и его пароля завершена.

[править] Активация драйвера

Программное обеспечение драйвера используется согласно временной лицензии для оценки продукта. Право на использование продукта или программного обеспечения истечет через 90 дней. Для использования продукта по истечению оценочного периода времени необходимо купить лицензию и после этого получить от компании Novell Мандат Активации Продукта (Product Activation Credential) или Запрос Активации (Activation Request), и затем применить мандат (Установка Активации). Для информации относительно того, как получить лицензии на продукты компании Novell, перейдите по ссылке Возможности приобретения от Novell

[править] Знакомство с порталом User Application

[править] Описание портала User Application

Identity Manager User Application - web-приложение, которое дает пользователю возможность выполнять большое разнообразие задач по самообслуживанию учётной записи. Кроме того, при использовании совместно с Provisioning Module и Novell Audit, User Application представляет собой полное, "end-to-end" решение, предоставляя пользователям способность инициации и управления запросами обеспечения и их подтверждения. User Application расширяет возможности распределённого администрирования и предоставляет для этого следующие возможности:

  • Обеспечение пользовательского интерфейса самообслуживания учётной записи, обеспечению доступа в качестве анонимного пользователя или в качестве гостевой учётной записи. User Application обеспечивает ряд портлетов для руководящих должностей. Существует возможность использования предустановленных портлетов, или настраивать их, для предоставления следующих услуг управления:
    • создание объекта каталога или запуск технологического процесса (workflow) для их создания.
    • поиск данных по белым, желтым, зеленым страницам.
    • просмотр и модификация пользовательских данных и атрибутов.
  • Обеспечение гарантии того, что доступ к корпоративным ресурсам отражает организационную политику и что обеспечение происходит в пределах контекста корпоративной политики безопасности. Существует возможность предоставления доступа пользователей к секретным данным в пределах руководящих принципов корпоративной политики безопасности.
  • Сокращение доли административного вмешательства на ввод, обновление, и удаление пользовательской информации во всех системах предприятия.
  • Предоставление интерфейса создания настраиваемых технологических процессов для управления распределёнными пользовательскими данными. Существует возможность создания ручного обеспечения, представляя технологические процессы как маршрут, обеспечивающий запросы к одной или более, ответственной за определённый ресурс, должности. Для автоматизированного обеспечения, существует возможность настройки User Application на автоматический запуск технологического процесса в ответ на определённые события в Identity Vault.

Более подробно смотрите на странице About the User Application на сайте компании Novell.

[править] Установка портала User Application

[править] Создание Driver в Identity Manager


Для создания драйвера необходимо в меню навигации развернуть меню Identity Manager Utilities и выбрать пункт New Driver. На открывшейся странице Мастера создания нового драйвера необходимо выделить пункт In an existing driver set и с помощью иконки Os1.gif выбрать уже созданный ранее, при создании драйвера для связи с Active Directory, driver set ActiveDirectory.polygon.nt.

На следующей странице Import a configuration into this driver set необходимо выбрать xml файл для импорта и последующей конфигурации. Для этого в поле Import a configuration from the server (.XML file) выберите UserApplication_3_5_0-IDM3_5_0-V1.xml. Затем нажмите Next.

В результате откроется страница настройки драйвера.
В поле Driver name: напишите название драйвера UserApplication
В поле Authentication ID: необходимо ввести полное имя администратора, заданное при настройке eDirectory. В нашем случае это admin.polygon.nt.
В следующих двух полях необходимо ввести пароль указанного пользователя:
Application Password : rootpass
Reenter the password: rootpass


В поле Application Context: оставляем значение по умолчанию IDM. Этот параметр определяет часть URL для для доступа к User Application через браузер.

Параметр Host: определяет сервер, где будет запущен сервис User Application. Введите http://slesN

В следующем поле Port: вводим номер порта, на котором будет доступен сервис. Введите 8081.
Примечание: номер порта должен отличаться от номера 8080, который прослушивает web-сервер tomcat.

В поле Allow Override Initiator: выберите значение Yes.
Выбор Yes позволяет администратору обеспечения запускать технологические процессы согласования от имени пользователя, для которого этот администратор определяет полномочия.

Затем нажмите Next

На следующей странице необходимо задать два параметра:
Define `Security Equivalences`: admin.polygon.nt
Exclude `Administrative Roles`: admin.polygon.nt

Нажмите Next

Следующая страница информативного характера - нажмите Finish with Overview

Стартовать драйвер пока не нужно.

На этом создание Driver в Identity Manager завершено.

[править] Изменение драйвера Novell Identity Manager связи с Active Directory

Изменение настроек драйвера необходимо для включения функции Configure Entitlemets и определение политик синхронизации различных объектов (пользователей, групп и информации о почтовых адресах пользователей).

Для этого необходимо в первую очередь остановить драйвер. В меню навигации раскрыть меню Identity Manager и выбрать пункт Identity Manager Overview. В открывшейся странице необходимо выбрать Search entire directory и затем нажать Search.
Далее нажмите левой кнопкой мыши на иконке соответствующего драйвера DriverRunning.gif и в открывшемся меню выберите Stop driver. В результате иконка DriverRunning.gif поменяется на DriverNotRunning.gif.

Затем необходимо раскрыть в меню навигации меню Identity Manager Utilities и выбрать пункт New Driver.

В результате откроется страница Welcome to the New Driver Wizard, где необходимо будет выбрать в поле In an existing driver set контейнер с драйвером Active Directory: UserAppl.polygon.nt и затем нажмите Next.

В поле Import a configuration from the server (.XML file) выберите ActiveDirectory-IDM3_5-V1.xml и затем нажмите Next.

На следующей странице необходимо в поле Existing drivers: выбрать существующий драйвер ActiveDirectory и определить следующие значения:.

Driver name: winN
Authentication Method: Negotiate
Authentication Id: winN0/Administrator
Authentication Password: rootpass
Reenter the password:rootpass
Authentication Context: winN.winN.polygon.nt
Domain Name: dc=winN,dc=polygon,dc=nt
Domain DNS Name: winN.winN.polygon.nt
Driver Polling Interval: 1
Password Sync Timeout (minutes): 5
Driver is Local/Remote: Remote


Нажмите Next

Remote Host Name and Port: 192.168.16.16N:8090
Driver Password: rootpass
Reenter the password: rootpass
Remote Password: rootpass
Reenter the password: rootpass

Нажмите Next

Base container in eDirectory: polygon.nt
Publisher Placement: Flat
Base container in Active Directory: cn=users,dc=winN,dc=polygon,dc=nt
Active Directory Placement: Flat
Configure Data Flow: Bi-directional
Password Failure Notification User: admin.polygon.nt
Configure Entitlements: Yes

Нажмите Next

User account policy: Implement in policy
Exchange policy: None
Group membership policy: Entitlements

Нажмите Next

Name mapping policy selection: Accept

Нажмите Next

User Principal Name Mapping: Follow Identity Vault Name

Нажмите Next, затем Finish with Overview

Нажмите левой кнопкой мыши на DriverNotRunning.gif и выберите Edit Properties

В появившемся окне необходимо отредактировать два параметра:

Remote loader connection parameters: hostname=192.168.16.16N port=8090 kmo=slesNsert

и

Use SSL for encryption: Yes

Нажмите Применить, затем OK.

[править] Установка дополнительного программного обеспечения


Перед установкой портала User Application необходимо установить Java Plug-in и Java Web Start. Сделать это можно следующим образом:

  • Сначала скопируйте файл /ISO/jdk-1_5_0_10-linux-i586-rpm.bin в домашний каталог пользователя root:
# cp /ISO/jdk-1_5_0_10-linux-i586-rpm.bin ~root/
  • Затем выполните бинарный файл:
# ./jdk-1_5_0_10-linux-i586-rpm.bin


После соглашения с лицензионным соглашением

Do you agree to the above license terms? [yes or no] 
yes

будет выполнена установка необходимого программного обеспечения:

Unpacking...
Checksumming...
0
0
Extracting...
UnZipSFX 5.42 of 14 January 2001, by Info-ZIP (Zip-Bugs@lists.wku.edu).
  inflating: jdk-1_5_0_10-linux-i586.rpm  
Подготовка...     ########################################### [100%]
   1:jdk                    ########################################### [100%]
 
Done.

На этом установка дополнительного программного обеспечения завершена.

[править] Настройка переменных окружения

Перед тем, как приступить к непосредственной установке User Application необходимо настроить среду окружения пользователей. Сделать это можно путём редактирования и последующего выполнения файлов ~root/.profile и ~user/.profile. Для этого необходимо добавить следующие строки:

export JAVA_HOME=/usr/java/jdk1.5.0_10
export JRE_HOME=$JAVA_HOME/jre

в указанные файлы при помощи команды:

#cat <<JAVA_ENV >> ~root/.profile
export JAVA_HOME=/usr/java/jdk1.5.0_10
export JRE_HOME=$JAVA_HOME/jre
JAVA_ENV

и

#cat <<JAVA_ENV >> ~user/.profile
export JAVA_HOME=/usr/java/jdk1.5.0_10
export JRE_HOME=$JAVA_HOME/jre
JAVA_ENV

После добавления указанных строк изменения вступят при следующей регистрации пользователя в системе, в том числе и через оконный менеджер. Для того чтобы внести изменения в среду окружения не завершая текущего сеанса, необходимо выполнить указанные ранее файлы при помощи следующих команд:

# . ~root/.profile

от имени суперпользователя и

$ . ~user/.profile

от имени пользователя user.

На этом настройка переменных окружения завершена.

[править] Создание необходимых каталогов и назначение прав на них

Завершающим подготовительным этапом является создание необходимых каталогов и определение прав на них.
Необходимо создать каталог /opt/novell/idm/jboss-mysql и назначить владельца ему пользователя user:

# mkdir -p /opt/novell/idm/jboss-mysql
# chown user /opt/novell/idm/jboss-mysql
# ls -ld /opt/novell/idm/jboss-mysql
drwxr-xr-x 2 user root 48 2007-05-03 15:00 /opt/novell/idm/jboss-mysql

Кроме этого необходимо поменять права на каталог /usr/java/, чтобы от имени пользователя можно было запускать необходимые программы из этого каталога:

# chown -R user /usr/java/

Затем необходимо проверить, имеет ли пользователь право записи на файл cacerts:

# ls -l /usr/java/jdk1.5.0_10/jre/lib/security/cacerts
-r--r--r-- 1 user root 40624 2006-11-10 01:07 /usr/java/jdk1.5.0_10/jre/lib/security/cacerts

Если нет - то необходимо это право предоставить:

# chmod u+w /usr/java/jdk1.5.0_10/jre/lib/security/cacerts
# ls -l /usr/java/jdk1.5.0_10/jre/lib/security/cacerts
-rw-r--r-- 1 user root 40624 2006-11-10 01:07 /usr/java/jdk1.5.0_10/jre/lib/security/cacerts

В каталог /opt/novell/idm будет производится инсталляция портала User Application - поэтому его тоже нужно сделать доступным для записи пользователю user:

# chown user /opt/novell/idm/
# ls -ld /opt/novell/idm/
drwxr-xr-x 3 user root 80 2007-05-03 15:00 /opt/novell/idm/

[править] Непосредственная установка портала User Application

Установка выполняется от имени пользователя user путём выполнения команды:

$ /media/IDM3_5_UA_Prov/linux/user_application/IdmUserApp.bin

В результате откроется окно программы установки и предложением выбрать язык.
Выберете Русский и нажмите OK.

Далее необходимо принять лицензионное соглашение и нажать на Следующий.

Затем будет окно информативного характера - нажмите Следующий.

На вопрос: Запустить программу установки JBoss и MySQL? ответьте Да и нажмите Следующий.

В результате запустится программа установки указанных баз данных, где сначала необходимо будет выбрать язык программы установки.

Выберете Русский и нажмите OK.

Затем будет окно информативного характера - нажмите Следующий.

Далее выберите набор установки Default и нажмите Следующий.

Затем выбор папки установки: выберите /opt/novell/idm/jboss-mysql/ и нажмите Следующий.

В следующем окне необходимо ввести имя базы данных и задать пароль пользователя root базы данных MySQL (не системной учётной записи!):

Database Name: idmuserappdb
'root' user password: rootpass
'root' user password (confirm): rootpass


И нажмите Следующий.

Затем окно с предустановочным резюме - нажмите Установить.

После выполнения установки жмем Выполнено. На этом работа программы установки JBoss и MySQL завершена.

После установки баз данных мы вновь возвращаемся к программе установки User Application. Следующим будет окно, предлагающее загрузить конфигурационный файл установки. У нас его нет - поэтому не отмечайте Да и нажмите Следующий.

Затем будет окно с выбором папки для установки - согласитесь со значением по умолчанию /opt/novell/idm и нажмите Следующий.

Далее - выбор платформы базы данных - выберите MySQL и нажмите Следующий.

Следующим окном будет окно конфигурации базы данных. Здесь необходимо согласиться со значением по умолчанию:
Хост: localhost
Порт: 3306
Затем нажмите Следующий.

В следующем окне необходимо будет ввести имя базы данных и данные о привилегированном пользователе. Эти данные задавались во время установки базы данных.
Имя (или SID) базы данных: idmuserappdb
Пользователь базы данных: root
Пароль пользователя базы данных: rootpass
(подтверждение): rootpass
Затем нажмите Следующий.

В следующем окне необходимо проверить значение параметра Корневая папка Java, которое должно быть таким же, как и значение переменной $JAVA_HOME. Это значение должно быть /usr/java/jdk1.5.0_10. Затем нажмите Следующий.

Далее - конфигурация JBoss. Здесь необходимо ввести IP адрес,порт для прослушивания и каталог для размещения программы. Введите
Основная папка: /opt/novell/idm/jboss-mysql/jboss/
Хост: 192.168.16.17N
Порт: 8081

Затем нажмите Следующий.

В следующем окне настройки IDM оставьте значения по умолчанию:
Один узел(по умолчанию)
Имя сервера: IDM
Затем нажмите Следующий.

Далее оставьте значение по умолчанию: Выкл - выключаем Novell Audit в User Application и нажмите Следующий.

Затем ответьте Нет на предложение импорта главного ключа для создания нового и нажмите Следующий.

Следующее окно информативного характера - нажмите Следующий.

Затем откроется окно конфигурации портала User Application. Здесь необходимо будет ввести следующие параметры:
Хост LDAP: 192.168.16.17N
Незащищенный порт LDAP: 389
Защищенный порт LDAP: 636
Администратор LDAP: cn=admin,ou=polygon,o=nt
Пароль администратора LDAP: rootpass
Характерное имя корневого контейнера: ou=polygon,o=nt
Характерное имя драйвера: cn=UserApplication,cn=ActiveDirectory,ou=polygon,o=nt
Администратор пользовательского приложения: cn=admin,ou=polygon,o=nt
Администратор приложения: cn=admin,ou=polygon,o=nt
Характерное имя пользовательского контейнера: ou=polygon,o=nt
Характерное имя контейнера группы: ou=polygon,o=nt

Все остальные параметры оставьте равными значениям по умолчанию. Затем нажмите OK.

Следующее окно будет содержать предустановочное резюме, проверьте значения и нажмите Установить.

Затем будет окно, сообщающее о завершении установки - нажмите Выполнено.

[править] Запуск и проверка инсталляции портала User Application

Для запуска базы данных MySQL, необходимо от имени пользователя user, выполнить команду:

$ /opt/novell/idm/jboss-mysql/mysql/start-mysql.sh root rootpass
$ echo $?
0

Для запуска сервера JBoss, необходимо от имени пользователя user, выполнить команду:

$ /opt/novell/idm/start-jboss.sh
.
.
.
17:18:12,707 INFO  [Server] JBoss (MX MicroKernel) [4.0.5.GA (build: CVSTag=Branch_4_0 date=200610162339)] Started in 1m:48s:592ms

Теперь на странице http://slesN:8081/IDM доступен User Application.
Если существует необходимость автоматизации процесса запуска этих сервисов, необходимо создать файл /etc/init.d/userapp с следующим содержанием:

#!/bin/bash
# Copyright (c) 2005 Novell, Inc. All rights reserved.
#
# Startup for Server
#
# Startup information taken from ndsd script. The same runlevels should
# work for us with the UserApp.
# chkconfig: 35 75 54
# description: Novell Identity Manager User Application
#
### BEGIN INIT INFO
# Provides: userapp
# Required-Start: $ndsd $network $time
# Required-Stop:
# Default-Start: 3 5
# Default-Stop: 0 1 2 6
# Short-Description: Novell IDM UserApp
# Description: Novell Identity Manager User Application
### END INIT INFO
export USERAPPBASE='/opt/novell/idm/';
export MYSQLBASE=$USERAPPBASE/jboss-mysql/mysql;
export JBOSSBASE=$USERAPPBASE;
export LOGDIR='/var/log/UA'
export JBOSSLOG=$LOGDIR/jbossidm.log;
export MYSQLLOG=$LOGDIR/mysqlidm.log;
export APPLICATIONUSER='user';
export MYSQLUSER='root';
export MYSQLPASS='rootpass';
if [ ! -f "$JBOSSLOG" ] || [ ! -w "$JBOSSLOG" ]
then
   touch $JBOSSLOG;
   chown $APPLICATIONUSER $JBOSSLOG;
   chmod u+w $JBOSSLOG;
fi
if [ ! -f "$MYSQLLOG" ] || [ ! -w "$MYSQLLOG" ]
then
   touch $MYSQLLOG;
   chown $APPLICATIONUSER $MYSQLLOG;
   chmod u+w $MYSQLLOG;
fi
start(){
   echo "Starting Novell Identity Manager UserApp..."
   echo `date "+%s - %Y-%m-%d %H:%M:%S"` - Starting MySQL >> $MYSQLLOG 2>&1;
   echo `date "+%s - %Y-%m-%d %H:%M:%S"` - Starting JDBC >> $JBOSSLOG 2>&1;
   su -l $APPLICATIONUSER -c "$MYSQLBASE/start-mysql.sh >> $MYSQLLOG 2>&1";
   su -l $APPLICATIONUSER -c "$JBOSSBASE/start-jboss.sh >> $JBOSSLOG 2>&1 &";
}
stop(){
   echo "Stopping Novell Identity Manager UserApp..."
   echo `date "+%s - %Y-%m-%d %H:%M:%S"` - Stopping MySQL >> $MYSQLLOG 2>&1;
   echo `date "+%s - %Y-%m-%d %H:%M:%S"` - Stopping JDBC >> $JBOSSLOG 2>&1;
   su - $APPLICATIONUSER -c "$JBOSSBASE/stop-jboss.sh >> $JBOSSLOG 2>&1";
   su - $APPLICATIONUSER -c "$MYSQLBASE/stop-mysql.sh $MYSQLUSER $MYSQLPASS >> $MYSQLLOG 2>&1"
}
restart(){
   stop
   sleep 60
   su -l $APPLICATIONUSER -c 'killall java'
   start
}
 case "$1" in
   start)
     start
     ;;
 stop)
   stop
   ;;
 restart)
   restart
   ;;
 connect)
   connect $2 $3
   ;;
 *)
   echo "Usage: `basename "$0"` {start|stop|restart}"
   exit 1
   ;;
esac
exit 0

Далее необходимо защитить файл от несанкционированного просмотра другими пользователями, так как в нем указан пароль и администратор базы данных mysql. Сделать это можно с помощью следующей команды, запущенной с правами суперпользователя:

chmod 700 /etc/init.d/userapp

И затем от имени суперпользователя дать команду:

# chkconfig -a userapp 
userapp                   0:off  1:off  2:off  3:on   4:off  5:on   6:off

После выполнения этой команды сервер jboss и база данных mysql будет автоматически стартовать при запуске и останавливаться при выключении компьютера.
Затем необходимо создать каталог хранения лог-файлов:

mkdir /var/log/UA

После этого можно перестартовывать сервер jboss и базу данных mysql путём выполнения команды:

/etc/init.d/userapp restart

[править] Изменение настроек портала User Application

При необходимости изменения настроек портала User Application, необходимо от имени пользователя user запустить скрипт:

$ /opt/novell/idm/configupdate.sh

В результате откроется окно с параметрами, введёнными во время инсталляции. При необходимости их можно изменить.

[править] Работа с порталом User Application

[править] Настройка оповещений о запросах на ресурсы по электронной почте

Для настройки оповещений по e-mail необходимо настроить параметры сервера электронной почты в Novell iManager и указать почтовый адрес пользователя в свойствах его учётной записи.

Для настройки параметров сервера электронной почты необходимо в меню навигации развернуть меню WorkFlow Administration и выбрать пункт Параметры сервера электронной почты. На открывшейся странице необходимо указать в поле Имя хоста IP адрес или DNS имя SMTP сервера - введите 192.168.16.254 и в поле От необходимо указать e-mail, который будет указываться в письме в поле From - введите adminN@noreplay.novell

Этот же e-mail необходимо указать и в свойствах учётной записи пользователя, ответственного за предоставления ресурса. Сделать это можно, раскрыв в меню навигации меню Пользователи и выбрав пункт Изменение объекта "Пользователь" выбрать admin.polygon.nt и в поле Адрес электронной почты: укажите adminN@polygon.nt

[править] Настройка доступных ресурсов и процедуры их заказа пользователями

Доступность того или иного ресурса будет определяться принадлежностью пользователя к определённой группе в Active Directory. Предположим, что заказным ресурсом для пользователей будет доступ к сети Интернет, который будет доступен только пользователям - членам группы ISA в Active Directory. Таким образом - первым, что необходимо сделать - создать эту группу. Для этого открываем Active Directory Users and Computers в Administrative Tools, нажимаем правой кнопкой на winN.polygon.nt - выбираем New, далее Group. В результате откроется окно New Object - Group. В этом окне необходимо ввести имя группы Group Name:, например ISA, а все остальные поля оставляем со значениями по умолчанию:

Groupe scope: Global
Groupe type: Security

Теперь можно переходить к настройке процедуры запроса ресурса доступа к сети Интернет и определению самого ресурса.

Для этого в меню навигации iManager раскрываем меню Provisioning Configurations и выбираем пункт Provisioning Requests.

В результате откроется страница Driver Selectoin, на которой необходимо выбрать драйвер UserApplication.ActiveDirectory.polygon.nt в поле User Application Driver и затем нажать OK.

Далее будет страница Provisioning Requests in 'UserApplication.Active Directory.polygon.nt'. Выберете на ней шаблон ресурса Template Single Approval_TA и нажмите Create Forfm.

В результате запустится мастер создания запроса.
На первой странице мастера Step 1 of 6: Edit general Provisioning Request information необходимо заполнить поле
Name (CN): Provisional Request Access to Internet
и в разделе
Provisioning Request Localized Strings
заполнить поля Language, Display Name, Description для английского и русского языков:
Language: English
Display Name: Access to Internet
Description: Only if Required
и для русскоязычного описания запроса нажмите Add, выберите Русскийи заполните поля:
Language: Русский
Display Name: Доступ к сети Internet
Description: Только по необходимости
И затем нажмите Next.

В результате откроется окно Step 2 of 6, на которой необходимо будет выбрать поле Available Provisioned Resources: и нажать на Iconadd.gif.

Запустится мастер создания ресурса. Первой страницей будет страница Step 1 of 3: Edit general Provisioned Resource information, на которой необходимо будет заполнить следующие поля:
Name (CN): Provisioned Resource Access to Internet
Category: Group
Entitlement: Group.ActiveDirectoryEntitle.ActiveDirectory.polygon.nt
В разделе Provisioned Resource Localized Strings необходимо будет заполнить поля для английской версии отображения:
Language: English
Display Name: Access to Internet
Description: Only if Required
Если есть необходимость добавления русскоязычного описания этого ресурса, то необходимо нажать на Add и добавить:
Language: Русский
Display Name: Доступ к сети Интернет
Desctiption: Только по необходимости
Затем нажмите Next

В результате мастер перейдет на страницу Step 2 of 3: Provide the necessary data to configure the Provisioned Resource.

На этой станице нажмите на ссылку Ask the applicaton to refresh this entitlemets data now

После этого в поле Possible values выберите CN=ISA,DC=winN,DC=polygon,DC=nt и нажмите Next.

Следующая страница будет ность информативный характер - проверьте на ней правильность информации и нажмите Finish.

На этом работа мастера создания ресурса завершена и теперь опять возвращаемся в мастер создания запроса.

На странице Step 2 of 6: Provisioning Request в поле Available Provisioned Resources выберите Access to Internet и в поле Category: выберите Entitlements и затем нажмите Next

В результате Вы перейдете на станицу Step 3 of 6 где необходимо будет отметить

Notify participants by e-mail

и в разделе Single Approval необходимо будет выбрать:

Addressee:
DN: admin.polygon.nt
Timeout: 2 Hours
Затем необходимо нажать Next.

Вы перейдете на страницу Step 4 of 6: Assign trustees of the Provisioning Request. На этой станице необходимо выбрать контейнер с пользователями, которым будет доступен для заказа данный ресурс. Выбираем polygon.nt и нажимаем Next.


В результате откроется страница Step 5 of 6: Determine the status of the Provisioning Request, на которой необходимо выбрать статус запроса Active и тип ресурса Grant the Idenity Manager entitlements. Затем нажмите Next.

Затем откроется страница Step 6 of 6:Summary. Проверьте информацию на этой странице и нажмите Finish.

Теперь в перечне Provisioning Requests появился запрос Request Access to Internet с статусом Active.

[править] Проверка правильности предоставления запроса и процедуры его согласования

Для проверки необходимо зарегистрироваться в портале от имени пользователя, не администратора. Затем перейдите по ссылке Запросы и утверждения и далее - Запрос ресурса. На открывшейся странице нажмите Продолжить и выберите ресурс Доступ к сети Интернет. Заполните поле с причиной заказа данного ресурса: В связи с служебной необходимостью и нажмите Передать.

Теперь разрегистрируйтесь в портале и зарегистрируйтесь от имени admin, перейдите по ссылке Запросы и утверждения. На открывшейся странице видим список не обслуженных запросов. Нажимаем на Одно утверждение, в поле Описание необходимо написать комментарий: Утверждаю и нажмите Подтвердить. И после этого разрегистрируйтесь из портала.

Затем вновь зарегистрируйтесь в портале от имени пользователя, не администратора, перейдите по ссылке Mои запросы, где будет только что подтвержденный руководителем запрос в состоянии Завершено.

И последним этапом проверки будет проверка членства в группе ISA в Active Directory пользователя, запросившего ресурс. Если этот пользователь действительно стал членом этой группы, значит все работает без ошибок.

[править] Знакомство с Novell Identity Designer

[править] Описание Novell Identity Designer

Основанный на структуре Eclipse, Novell Identity Designer позволяет визуально отобразить всю схему управления электронными персонами, а затем управлять ее конфигурацией. Designer также может конфигурировать клиентскую часть пользовательского Web-портала Novell Identity Manager, основанного на технологии портлетов, позволяя не только изменять внешний вид каждого из них, но и модифицировать каждый портлет на уровне полей. Более того, Designer позволяет решать большую часть задач по конфигурированию в режиме offline. Это означает, что вы можете создать или импортировать существующий проект системы управления электронными персонами и проиграть его в режиме «что-если», меняя параметры настройки. После успешной проверки, проект экспортируется в "живую" базу службы eDirectory. Полезными будут также возможности Novell Identity Designer автоматически генерировать документацию по разработанному проекту, наличие подробной справочной системы, возможность импорта разработанного проекта в XML файл.

Более подробно о Novell Identity Designer смотрите на странице Novell Doc сайта документации компании Novell.

[править] Установка Novell Identity Designer

[править] Системные требования

  • Minimum resolution: 1024 x 768. The recommended resolution for Designer is 1280 x 1024.
  • 512 MB RAM (recommended).
  • 1 GB available disk space (recommended).
  • 1 GHz processing speed.

[править] Поддерживаемые операционные системы

  • Windows 2000 Professional SP4
  • Windows XP SP2
  • Windows Server 2003
  • Red Hat Fedora* Core 5
  • Red Hat Linux 4.0
  • Novell® Linux Desktop 9
  • SUSE® Linux 10.1
  • SUSE Linux Enterprise Desktop 10
  • SUSE Linux Enterprise Server 10

[править] Создание необходимых каталогов

# mkdir /opt/novell/designer
# chown user /opt/novell/designer
# ls -ld /opt/novell/designer/
drwxr-xr-x 2 user root 48 2007-05-04 10:56 /opt/novell/designer/

[править] Инсталляция Novell Identity Designer


От имени пользователя user:

$ /media/Designer2/Linux/linux/designer/install

Откроется окно с выбором языка установки - выберите English и нажмите OK.

Затем страница предварительной информации. Ознакомьтесь с ней и нажмите Next.

Далее необходимо согласиться с лицензионным соглашением. Выберете I accept и нажмите Next.

В следующем окне необходимо в поле Install Location выбрать каталог /opt/novell/designer и затем нажать Next.

Затем необходимо будет выбрать язык интерфейса Identity Designer. Выберете English и нажмите Next.

Далее - предустановочное резюме. Проверьте параметры и нажмите Install

После завершения установки нажмите Next, затем Done.

На этом установка Novell Identity Designer завершена.


[править] Дополнительная информация о Novell Identity Manager на Xgu.ru

Драйвер Identity Manager для синхронизации с Acrive Directory: