Obrázek 2.1. Instalátor IDM: Welcome
Portál AbcLinuxu, 10. května 2025 22:45
Sun Java Identity Manager je nástroj pro zjednodušení správy uživatelů ve velké síti. V dnešním (prvním) díle seriálu si ukážeme, jak ho nainstalovat, a provedeme jeho první spuštění.
Správa uživatelů v síti
1. Úvod do správy identit
1.1. Stávající situace
1.2. Ideální stav
1.3. Řešení
2. Instalace Sun Java Identity Manageru
2.1. Požadavky na SW a HW pro provoz IDM
2.1.1. Operační systém
2.1.2. Aplikační server
2.1.3. Databáze pro metadata
2.1.4. Webové prohlížeče
2.2. Získání potřebného SW
2.2.1. Java
2.2.2. Operační systém
2.2.3. Aplikační server
2.2.3.1. Apache Tomcat
2.2.4. Ukládání metadat
2.2.4.1. MySQL
2.2.4.2. Oracle Database 10g XE
2.2.5. IDM
2.3. Instalace
2.3.1. Instalace IDM
2.3.2. Konfigurace úložiště dat
2.3.3. První přihlášení do IDM
3. Závěr
3.1. Co nás čeká příště?
Téma správy uživatelských kont v síťi jsem už nakousl ve svém blogu, kde jsem si otestoval, jak toto téma čtenáři přijmou. Protože byl daný zápisek přijat kladně, čeká vás série článků o správě identit. V odkazovaném zápisku v blogu je zveřejněn postup instalace pro Sun Java Identity Manager (dále jen IDM) verze 5, který je ale starý. Proto zde projdeme instalaci znovu na nové verzi IDM.
Pro představu, proč řešit správu uživatelů, si vytvoříme fiktivní firmu Firma a.s.. Firma a.s. je celkem běžná společnost se 150 zaměstnanci vyrábějící hasící přístroje. Ve firmě najdeme několik oddělení: výroba, obchod, logistika, obchod, IT, finance, personální oddělění a vedení.
Fungování firmy zajišťuje kromě zaměstnanců i několik počítačových systémů/programů. Personální oddělení má vlastní systém pro vedení záznamů o lidech. Docházkový systém obsluhuje i všechny elektrické zámky v budově a umožňuje definovat přístup pro jednotlivé zaměstnance do různých částí firmy. Počítačová síť je postavená na Active Directory, ale běží v ní také další služby provozované na linuxových serverech (mailserver, intranetový portál, objednávky obědů). Některé aplikace používají databázi Oracle jiné zase MySQL. Do firmy je zprovozněna VPN.
Věřím, že si hned řeknete: "tak prostě uděláme centrální úložiště uživatelů někde v LDAPu a uživatel se bude zakládat jen jednou". Centrální úložiště je možná na první pohled jednoduché řešení, ale počáteční nadšení vyprchá, když se to má skutečně nasadit a používat.
Některé systémy nemají možnost připojení k centrálnímu adresářovému serveru nebo databázi. Jiné systémy tu možnost sice mají, ale zase vyžadují nějaký formát loginů, který není použitelný ve zbytku sítě. No a někdy máte prostě tolik uživatelů a systémů, že převod do jiného systému je prakticky nerealizovatelný bez měsíční odstávky.
Snad každá větší firma vám nabídne řešení tohoto problému. Zkuste se poptat u IBM, Oracle, SUNu nebo třeba Novellu a každá z těchto firem se na vás vytasí se svým Identity Managerem.
Těm, kteří mě znají, musí být jasné, že budu psát o Identity Manageru od SUNu.
Testovací instalaci provádím na notebooku s 1,4GHz procesorem a 756 MiB RAM, na kterém je nainstalována Fedora Core 6.
Sun Java Identity Manager je aplikace kompletně napsaná v Javě a ke svému běhu potřebuje nějaké úložiště pro data a aplikační server (servlet 2.2). Java by měla být verze minimálně 1.4.2. K IDM se přistupuje webovým prohlížečem s nainstalovaným pluginem pro Javu.
Níže uvedené seznamy podporovaných OS, aplikačních serverů a databází berte s rezervou. Jedná se o oficiálně podporované konfigurace ze strany Sun Microsystems, ale otestované mám i jiné verze sw, například Tomcat 5.5 a MySQL 5.0 na Debianu nebo Fedoře 6.
Nároky na hardware nejsou moc velké, potřebujete minimálně 256 MiB RAM a procesor nějaký funkční :-). Samozřejmě to je jen na otestování, v reálném provozu záleží na počtu uživatelů, které má IDM spravovat, pak se víc RAM a rychlejší procesor mohou hodit. Na disku si nechte půl GiB volného místa.
Pro vzorovou instalaci udělanou kvůli tomuto článku jsem se rozhodl pro výběr nejběžnějšího softwaru. Použijeme Tomcat 5.5 pro vlastní běh IDM a MySQL pro ukládání metadat (repository database). Pokud nechcete používat MySQL, může se použít i ukládání do lokálních souborů, pro testy to určitě stačí. Všechen další zmiňovaný software není pro instalaci Identity Manageru nutný, ale bude se hodit při ukázkách toho, jak IDM funguje a co umí.
Před instalací IDM je třeba zprovoznit Javu. Ta je ke stažení na webu java.sun.com. Instalaci Javy nechám plně na vás, je celkem jedno, jestli ji jen někam rozbalíte, nebo si vyrobíte balíček pro vaší distribuci a nainstalujete ji do OS. Důležité je, aby byla správně nastavená proměnná JAVA_HOME a cesta k programu java přídána do $PATH.
Na notebooku, na kterém provádím tuto testovací instalaci, mám nainstalovanou Fedoru Core 6, samozřejmě můžete použít i jiné distribuce případně jiný operační systém (máme vyzkoušené MS Windows XP a 2003 a Solaris).
Apache Tomcat 5.5, jsem stáhl z http://tomcat.apache.org/ a nainstaloval do adresáře /opt/tomcat/, celý mi běží pod uživatelem tomcat (skupina tomcat). Instalaci Tomcatu zde nebudu popisovat, je dobře zdokumentována na jeho domácí stránce.
Ve Fedoře mám MySQL verze 5, takže ji použiji. Pokud máte nějakou starší distribuci s MySQL starší než 4.1, tak doporučuji provést upgrade nebo využít možnosti ukládání metadat do lokálních souborů.
Oracle databáze je docela rozšířená a její odlehčená verze XE je dostupná zdarma. Když si ji nainstalujete, můžete ji využít jako úložiště pro metadata IDM nebo si vyzkoušet, jak se v ní přímo z IDM dají spravovat uživatelé.
Z webové stránky Product Downloads - Sun Java System Identity Manager 7.0 stáhněte archiv s vlastním softwarem a dokumentací. Pro stažení je třeba registrace, která je ovšem zdarma.
Stažený soubor IDPAK_2005Q4M3.zip přesuňte do prázdného adresáře a rozbalte. Po rozbalení získáte soubory potřebné pro instalaci a také dokumentaci k Identity Manageru.
Instalaci spusťte jako uživatel root příkazem sh install. Pokud vám fungují Xka, spustí se vám instalace v grafickém režimu. Samozřejmě je možné spustit i instalaci v textovém režimu. Proveďte novou instalaci do adresáře $TOMCAT_HOME/webapps/idm - v mém případě se jedná o adresář /opt/tomcat/webapps/idm. Po nakopírování souborů máte možnost spustit program Setup (obrázek 2.6 - "Instalátor IDM: Launch Setup"). Tento program nespouštějte, pokud nechcete použít pro ukládání metadat lokální soubory. Před konfigurací databáze jako úložiště dat je třeba přidat k IDM knihovnu JDBC.
Obrázek 2.1. Instalátor IDM: Welcome
Obrázek 2.2. Instalátor IDM: Install or Upgrade?
Obrázek 2.3. Instalátor IDM: Select Installation directory
Obrázek 2.4. Instalátor IDM: Ready to Install
Obrázek 2.5. Instalátor IDM: Installing...
Obrázek 2.6. Instalátor IDM: Launch Setup
Konfigurační nástroj k IDM potřebuje správně nastavenou proměnnou WSHOME, která ukazuje na adresář, do kterého jste IDM nainstalovali (export WSHOME=/opt/tomcat/webapps/idm).
IDM se k databázi připojuje přes JDBC, ale knihovny pro přístup k JDBC nejsou součástí instalace. Musí se stáhnout z webu, případně je vyfasujete s instalačním CD své databáze. Pro MySQL stáhněte z webu www.mysql.com/products/connector/j/ soubor mysql-connector-java-5.0.3.tar.gz. Po rozbalení staženého archívu nakopírujte soubor mysql-connector-java-5.0.3-bin.jar do adresáře $WHSOME/WEB-INF/lib.
Dalším krokem je vytvoření potřebných struktur v databázi. V rozbaleném archivu s instalačnímy soubory IDM najděte adresář ./db_scripts/, v něm se nacházejí potřebné skripty.
[root@vodik db_scripts]# mysql -u root -p < create_waveset_tables.mysql Enter password: [root@vodik db_scripts]# mysql -u root -p < create_dictionary_table.mysql Enter password:
Standardně se vytváří databáze waveset a uživatel waveset s heslem waveset. Samozřejmě si daný SQL skript můžete upravit podle vlastních pořeb.
Příkazem $WSHOME/bin/lh setup nastartujte konfigurační nástroj IDM pro dokončení instalace. Při výběru způsobu uložení dat (obrázek 2.8 - "Locate the Repository (files)") je jako výchozí možnost ukládání do lokálních souborů. Pokud se rozhodnete pro tuto variantu, je třeba, aby byl zvolený adresář přístupný a zapisovatelný pro uživatele, pod kterým běží aplikační server. Vyberte MySQL (JDBC Driver). Pokud jste měnili SQL skript pro vytváření databáze, budete muset změnit i údaje pro připojení k MySQL (obrázek 2.9 - "Locate the Repository (MySQL)"). Další kroky jsou shodné pro všechny způsoby ukládání dat. Během třetího kroku máte možnost nastavit demonstrační prostředí, zvolte možnost nevytvářet (obrázek 2.10 - "Setup Demo?"), IDM si nakonfigurujeme sami. Poslední krok je import dat do úložiště dat - klikněte na tlačítko Execute.
Obrázek 2.7. Welcome to the Sun Setup Wizard
Obrázek 2.8. Locate the Repository (files)
Obrázek 2.9. Locate the Repository (MySQL)
Obrázek 2.10. Setup Demo?
Obrázek 2.11. Save Configuration
Po ukončení konfiguračního programu restartujte aplikační server, aby se Identity Manager nastartoval.
Po nastartování Tomcatu je možné se přihlásit do Identity Manageru. Uživatel s maximálními právy (configurator) má jako výchozí heslo přednastaveno configurator.
Obrázek 2.12. Log In to Identity Manager - administrátor
Obrázek 2.13. Log In to Identity Manager - uživatel
V prvním díle článku jsme nainstalovali Identity Manager. Další díly se postupně budou věnovat administrátorskému a uživatelskému rozhraní, připojování systémů k Identity Manageru, úpravě a vytváření vlastních pravidel, formulářů a poté i workflow.
Děkuji společnosti Avnet za podporu a poskytnutí prostředků pro instalaci a testování Identity Manageru.
Taky jsem ten clanek jen prolitnul hledajic kdese dozvim co to IDM vlastne je a k cemu by mi to mohlo byt. Snad bude v pristim dilu par praktickych ukazek...
<H3 id="2.3. Instalace">2.3. Instalace</H3>
?
opravte si ty "obědnávky obědů"Sorry, to mi proklouzla opravdu roztomile příšerná chyba.
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.