Správa uživatelů v síti

13. 12. 2006 | Zdeněk Burda | Sítě | 14248×

Obsah

Správa uživatelů v síti
1. Úvod do správy identit
  1.1. Stávající situace
  1.2. Ideální stav
  1.3. Řešení
2. Instalace Sun Java Identity Manageru
  2.1. Požadavky na SW a HW pro provoz IDM
    2.1.1. Operační systém
    2.1.2. Aplikační server
    2.1.3. Databáze pro metadata
    2.1.4. Webové prohlížeče
  2.2. Získání potřebného SW
    2.2.1. Java
    2.2.2. Operační systém
    2.2.3. Aplikační server
      2.2.3.1. Apache Tomcat
    2.2.4. Ukládání metadat
      2.2.4.1. MySQL
2.2.4.2. Oracle Database 10g XE
    2.2.5. IDM
    2.3. Instalace
    2.3.1. Instalace IDM
    2.3.2. Konfigurace úložiště dat
    2.3.3. První přihlášení do IDM
3. Závěr
  3.1. Co nás čeká příště?

Správa uživatelů v síti

Téma správy uživatelských kont v síťi jsem už nakousl ve svém blogu, kde jsem si otestoval, jak toto téma čtenáři přijmou. Protože byl daný zápisek přijat kladně, čeká vás série článků o správě identit. V odkazovaném zápisku v blogu je zveřejněn postup instalace pro Sun Java Identity Manager (dále jen IDM) verze 5, který je ale starý. Proto zde projdeme instalaci znovu na nové verzi IDM.

Kapitola 1. Úvod do správy identit

1.1. Stávající situace

Pro představu, proč řešit správu uživatelů, si vytvoříme fiktivní firmu Firma a.s.. Firma a.s. je celkem běžná společnost se 150 zaměstnanci vyrábějící hasící přístroje. Ve firmě najdeme několik oddělení: výroba, obchod, logistika, obchod, IT, finance, personální oddělění a vedení.

Fungování firmy zajišťuje kromě zaměstnanců i několik počítačových systémů/programů. Personální oddělení má vlastní systém pro vedení záznamů o lidech. Docházkový systém obsluhuje i všechny elektrické zámky v budově a umožňuje definovat přístup pro jednotlivé zaměstnance do různých částí firmy. Počítačová síť je postavená na Active Directory, ale běží v ní také další služby provozované na linuxových serverech (mailserver, intranetový portál, objednávky obědů). Některé aplikace používají databázi Oracle jiné zase MySQL. Do firmy je zprovozněna VPN.

1.2. Ideální stav

Věřím, že si hned řeknete: "tak prostě uděláme centrální úložiště uživatelů někde v LDAPu a uživatel se bude zakládat jen jednou". Centrální úložiště je možná na první pohled jednoduché řešení, ale počáteční nadšení vyprchá, když se to má skutečně nasadit a používat.

Některé systémy nemají možnost připojení k centrálnímu adresářovému serveru nebo databázi. Jiné systémy tu možnost sice mají, ale zase vyžadují nějaký formát loginů, který není použitelný ve zbytku sítě. No a někdy máte prostě tolik uživatelů a systémů, že převod do jiného systému je prakticky nerealizovatelný bez měsíční odstávky.

1.3. Řešení

Snad každá větší firma vám nabídne řešení tohoto problému. Zkuste se poptat u IBM, Oracle, SUNu nebo třeba Novellu a každá z těchto firem se na vás vytasí se svým Identity Managerem.

Těm, kteří mě znají, musí být jasné, že budu psát o Identity Manageru od SUNu.

Kapitola 2. Instalace Sun Java Identity Manageru

Testovací instalaci provádím na notebooku s 1,4GHz procesorem a 756 MiB RAM, na kterém je nainstalována Fedora Core 6.

2.1. Požadavky na SW a HW pro provoz IDM

Sun Java Identity Manager je aplikace kompletně napsaná v Javě a ke svému běhu potřebuje nějaké úložiště pro data a aplikační server (servlet 2.2). Java by měla být verze minimálně 1.4.2. K IDM se přistupuje webovým prohlížečem s nainstalovaným pluginem pro Javu.

Níže uvedené seznamy podporovaných OS, aplikačních serverů a databází berte s rezervou. Jedná se o oficiálně podporované konfigurace ze strany Sun Microsystems, ale otestované mám i jiné verze sw, například Tomcat 5.5 a MySQL 5.0 na Debianu nebo Fedoře 6.

Nároky na hardware nejsou moc velké, potřebujete minimálně 256 MiB RAM a procesor nějaký funkční :-). Samozřejmě to je jen na otestování, v reálném provozu záleží na počtu uživatelů, které má IDM spravovat, pak se víc RAM a rychlejší procesor mohou hodit. Na disku si nechte půl GiB volného místa.

2.1.1. Operační systém

• AIX 4.3.3, 5.2, 5L v5.3
• HP-UX 11i v1, 11i v2
• Microsoft Windows 2000 SP3 nebo vyšší
• Microsoft Windows 2003
• Solaris 8, 9, 10 Sparc a x86d
• Red Hat Linux Advanced Server 2.1
• Red Hat Linux Enterprise Server 3.0, 4.0
• Novell SuSE Linux Enterprise Server 9 SP1

2.1.2. Aplikační server

• Apache Tomcat
• • 4.1.x (s JDK 1.4.2)
  • 5.0.x (s JDK 1.4.2)
• BEA WebLogic® Express 8.1 (s JDK 1.4.2)
• BEA WebLogic® Server™ 8.1 (s JDK 1.4.2)
• IBM WebSphere® 6.0
• IBM WebSphere® Application Server - Express Version 5.1.1 (s JDK 1.4.2)
• Sun™ ONE Application Server 7
• Sun Java™ System Application Server Platform Edition 8
• Sun Java™ System Application Server Platform Edition and Enterprise Edition 8.1

2.1.3. Databáze pro metadata

• IBM® DB2® Universal Database pro Linux, UNIX® a Windows® (verze 7.x, 8.1, 8.2)
• Microsoft SQL Server™ 2000
• MySQL™ 4.1
• Oracle 9i® a Oracle Database 10g®

2.1.4. Webové prohlížeče

• Microsoft Internet Explorer 5.x a vyšší
• Safari 2.0 a vyšší pro Mac OS X 10.3.3 a vyšší
• Mozilla 1.78 s JRE 1.5
• Firefox 1.04, 1.05, 1.06 s JRE 1.5

2.2. Získání potřebného SW

Pro vzorovou instalaci udělanou kvůli tomuto článku jsem se rozhodl pro výběr nejběžnějšího softwaru. Použijeme Tomcat 5.5 pro vlastní běh IDM a MySQL pro ukládání metadat (repository database). Pokud nechcete používat MySQL, může se použít i ukládání do lokálních souborů, pro testy to určitě stačí. Všechen další zmiňovaný software není pro instalaci Identity Manageru nutný, ale bude se hodit při ukázkách toho, jak IDM funguje a co umí.

2.2.1. Java

Před instalací IDM je třeba zprovoznit Javu. Ta je ke stažení na webu java.sun.com. Instalaci Javy nechám plně na vás, je celkem jedno, jestli ji jen někam rozbalíte, nebo si vyrobíte balíček pro vaší distribuci a nainstalujete ji do OS. Důležité je, aby byla správně nastavená proměnná JAVA_HOME a cesta k programu java přídána do $PATH.

2.2.2. Operační systém

Na notebooku, na kterém provádím tuto testovací instalaci, mám nainstalovanou Fedoru Core 6, samozřejmě můžete použít i jiné distribuce případně jiný operační systém (máme vyzkoušené MS Windows XP a 2003 a Solaris).

2.2.3. Aplikační server

2.2.3.1. Apache Tomcat

Apache Tomcat 5.5, jsem stáhl z http://tomcat.apache.org/ a nainstaloval do adresáře /opt/tomcat/, celý mi běží pod uživatelem tomcat (skupina tomcat). Instalaci Tomcatu zde nebudu popisovat, je dobře zdokumentována na jeho domácí stránce.

2.2.4. Ukládání metadat

2.2.4.1. MySQL

Ve Fedoře mám MySQL verze 5, takže ji použiji. Pokud máte nějakou starší distribuci s MySQL starší než 4.1, tak doporučuji provést upgrade nebo využít možnosti ukládání metadat do lokálních souborů.

2.2.4.2. Oracle Database 10g XE

Oracle databáze je docela rozšířená a její odlehčená verze XE je dostupná zdarma. Když si ji nainstalujete, můžete ji využít jako úložiště pro metadata IDM nebo si vyzkoušet, jak se v ní přímo z IDM dají spravovat uživatelé.

2.2.5. IDM

Z webové stránky Product Downloads - Sun Java System Identity Manager 7.0 stáhněte archiv s vlastním softwarem a dokumentací. Pro stažení je třeba registrace, která je ovšem zdarma.

2.3. Instalace

2.3.1. Instalace IDM

Stažený soubor IDPAK_2005Q4M3.zip přesuňte do prázdného adresáře a rozbalte. Po rozbalení získáte soubory potřebné pro instalaci a také dokumentaci k Identity Manageru.

Instalaci spusťte jako uživatel root příkazem sh install. Pokud vám fungují Xka, spustí se vám instalace v grafickém režimu. Samozřejmě je možné spustit i instalaci v textovém režimu. Proveďte novou instalaci do adresáře $TOMCAT_HOME/webapps/idm - v mém případě se jedná o adresář /opt/tomcat/webapps/idm. Po nakopírování souborů máte možnost spustit program Setup (obrázek 2.6 - "Instalátor IDM: Launch Setup"). Tento program nespouštějte, pokud nechcete použít pro ukládání metadat lokální soubory. Před konfigurací databáze jako úložiště dat je třeba přidat k IDM knihovnu JDBC.

Obrázek 2.1. Instalátor IDM: Welcome

Obrázek 2.2. Instalátor IDM: Install or Upgrade?

Obrázek 2.3. Instalátor IDM: Select Installation directory

Obrázek 2.4. Instalátor IDM: Ready to Install

Obrázek 2.5. Instalátor IDM: Installing...

Obrázek 2.6. Instalátor IDM: Launch Setup

2.3.2. Konfigurace úložiště dat

Konfigurační nástroj k IDM potřebuje správně nastavenou proměnnou WSHOME, která ukazuje na adresář, do kterého jste IDM nainstalovali (export WSHOME=/opt/tomcat/webapps/idm).

IDM se k databázi připojuje přes JDBC, ale knihovny pro přístup k JDBC nejsou součástí instalace. Musí se stáhnout z webu, případně je vyfasujete s instalačním CD své databáze. Pro MySQL stáhněte z webu www.mysql.com/products/connector/j/ soubor mysql-connector-java-5.0.3.tar.gz. Po rozbalení staženého archívu nakopírujte soubor mysql-connector-java-5.0.3-bin.jar do adresáře $WHSOME/WEB-INF/lib.

Dalším krokem je vytvoření potřebných struktur v databázi. V rozbaleném archivu s instalačnímy soubory IDM najděte adresář ./db_scripts/, v něm se nacházejí potřebné skripty.

[root@vodik db_scripts]# mysql -u root -p < create_waveset_tables.mysql
Enter password:
[root@vodik db_scripts]# mysql -u root -p < create_dictionary_table.mysql
Enter password:

Standardně se vytváří databáze waveset a uživatel waveset s heslem waveset. Samozřejmě si daný SQL skript můžete upravit podle vlastních pořeb.

Příkazem $WSHOME/bin/lh setup nastartujte konfigurační nástroj IDM pro dokončení instalace. Při výběru způsobu uložení dat (obrázek 2.8 - "Locate the Repository (files)") je jako výchozí možnost ukládání do lokálních souborů. Pokud se rozhodnete pro tuto variantu, je třeba, aby byl zvolený adresář přístupný a zapisovatelný pro uživatele, pod kterým běží aplikační server. Vyberte MySQL (JDBC Driver). Pokud jste měnili SQL skript pro vytváření databáze, budete muset změnit i údaje pro připojení k MySQL (obrázek 2.9 - "Locate the Repository (MySQL)"). Další kroky jsou shodné pro všechny způsoby ukládání dat. Během třetího kroku máte možnost nastavit demonstrační prostředí, zvolte možnost nevytvářet (obrázek 2.10 - "Setup Demo?"), IDM si nakonfigurujeme sami. Poslední krok je import dat do úložiště dat - klikněte na tlačítko Execute.

Obrázek 2.7. Welcome to the Sun Setup Wizard

Obrázek 2.8. Locate the Repository (files)

Obrázek 2.9. Locate the Repository (MySQL)

Obrázek 2.10. Setup Demo?

Obrázek 2.11. Save Configuration

Po ukončení konfiguračního programu restartujte aplikační server, aby se Identity Manager nastartoval.

2.3.3. První přihlášení do IDM

Po nastartování Tomcatu je možné se přihlásit do Identity Manageru. Uživatel s maximálními právy (configurator) má jako výchozí heslo přednastaveno configurator.

• http://localhost:8080/idm - administrátorské rozhraní (obrázek 2.12 - "Log In to Identity Manager - administrátor")
• http://localhost:8080/idm/user - uživatelské rozhraní (obrázek 2.13 - "Log In to Identity Manager - uživatel")

Obrázek 2.12. Log In to Identity Manager - administrátor

Obrázek 2.13. Log In to Identity Manager - uživatel

Kapitola 3. Závěr

3.1. Co nás čeká příště?

V prvním díle článku jsme nainstalovali Identity Manager. Další díly se postupně budou věnovat administrátorskému a uživatelskému rozhraní, připojování systémů k Identity Manageru, úpravě a vytváření vlastních pravidel, formulářů a poté i workflow.

Děkuji společnosti Avnet za podporu a poskytnutí prostředků pro instalaci a testování Identity Manageru.

Nástroje: Tisk bez diskuse