abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
dnes 15:22 | Zajímavý článek

Nová čísla časopisů od nakladatelství Raspberry Pi: MagPi 100 (pdf), HackSpace 37 (pdf) a Wireframe 44 (pdf). Vydán byl také dvousetstránkový The Official Raspberry Pi Handbook 2021 (pdf).

Ladislav Hagara | Komentářů: 0
dnes 14:55 | Nová verze

Byla vydána nová verze 2.13 proprietárního multiplatformního 3D enginu UNIGINE (Wikipedie) pro tvorbu počítačových her, simulátorů, systémů virtuální reality nebo i benchmarků. Přehled novinek na YouTube a v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0
dnes 09:00 | Nová verze

Armbian, tj. operační systém založený na Debianu a Ubuntu pro jednodeskové počítače na platformě ARM, byl vydán ve verzi 20.11. Její kódové jméno je Tamandua. Pro většinu desek byl Linux povýšen na verzi 5.9.y. U-Boot na verzi 2020.10.

Ladislav Hagara | Komentářů: 0
dnes 08:00 | Nová verze

Desktopové prostředí Cinnamon má novou verzi 4.8. Změny jsou především inkrementální, např. různé opravy chování appletů v panelu, ale také aktualizace závislosti na mozjs (nyní aspoň 78), kvůli které jinak hrozilo odstranění balíčků z Debianu.

Fluttershy, yay! | Komentářů: 1
včera 20:22 | Nová verze

Po téměř čtyřech měsících vývoje od vydání verze 246 byla vydána nová verze 247 správce systému a služeb systemd (GitHub, NEWS).

Ladislav Hagara | Komentářů: 4
včera 17:55 | Nová verze

Byla vydána verze 6.3 open source virtualizační platformy Proxmox VE (Proxmox Virtual Environment, Wikipedie) založené na Debianu. Přehled novinek v poznámkách k vydání a v informačním videu. Zdůraznit lze integraci s Proxmox Backup Serverem.

Ladislav Hagara | Komentářů: 3
včera 17:33 | Nová verze

Po pěti letech od vydání verze 7.0.0 byla vydána nová major verze 8.0.0 skriptovacího jazyka PHP používaného zejména k vývoji dynamických webových stránek. Nejnovější větev PHP přináší celou řadu nových novinek a vylepšení. Vydána byla také příručka pro přechod z předchozích verzí.

Ladislav Hagara | Komentářů: 2
včera 13:33 | Nová verze

Björn Ståhl vydal novou verzi 0.6 svého vlastního display serveru, herní enginu a realtimového multimediálního frameworku v jednom s názvem Arcan a desktopového prostředí pro Arcan s názvem Durden. Přidána byla celá řada nových vlastností. Jejich představení na YouTube.

Ladislav Hagara | Komentářů: 3
včera 07:00 | Nová verze

Byla vydána nová verze 28.16.0 webového prohlížeče Pale Moon (Wikipedie) vycházejícího z Firefoxu. Přehled novinek v poznámkách k vydání. Řešeno je také několik bezpečnostních chyb.

Ladislav Hagara | Komentářů: 9
včera 01:11 | Nová verze

Byla vydána nová stabilní verze 2.91 svobodného 3D softwaru Blender. Přehled novinek v oznámení o vydání a na YouTube.

Ladislav Hagara | Komentářů: 0
Jak nakládáte s řetězovými e-maily?
 (6%)
 (41%)
 (3%)
 (2%)
 (3%)
 (9%)
 (57%)
Celkem 297 hlasů
 Komentářů: 8, poslední 16.11. 22:50
Rozcestník

Správa uživatelů v síti - 2 (Sun Java Identity Manager)

20. 3. 2007 | Zdeněk Burda | Sítě | 11433×

Něco málo teorie o softwaru Sun Java Identity Manager (dále IDM). V praktické části bude čtenář seznámen s uživatelským rozhraním a zkusíme si založit nového uživatele.

Obsah

Kapitola 1. Komunikační rozhraní Identity Manageru
  1.1. Teorie
    1.1.1. Co je Identity Manager, k čemu je to dobré?
    1.1.2. A co IDM není?
    1.1.3. Základní pojmy a vlastnosti se kterými se můžete setkat v IDM
  1.2. Jakým způsobem můžeme k IDM přistupovat?
    1.2.1. Webové rozhraní
      1.2.1.1. Administrátor
      1.2.1.2. Uživatel
    1.2.2. Business Process Editor
      1.2.2.1. Lokální spuštění BPE
      1.2.2.2. Vzdálený přístup z BPE
    1.2.3. Textová konzole
    1.2.4. NetBeans IDE
    1.2.5. Dokončení instalace
  1.3. Připojení IDM ke koncového systému
    1.3.1. MySQL tabulka
      1.3.1.1. Vytvoření testovací tabulky
      1.3.1.2. Připojení k tabulce
    1.3.2. Založení uživatele
  1.4. Identity Manager - Připravené demo
  1.5. Co bude příště?

Kapitola 1. Komunikační rozhraní Identity Manageru

link

1.1. Teorie

link

1.1.1. Co je Identity Manager, k čemu je to dobré?

link

IDM je nástroj pro centralizaci a automatizaci správy uživatelských identit (účtů, skupin atd.) v celé síti a to bez výrazných zásahů do fungování stávajících systémů. Komunikace s koncovými systémy probíhá jejich nativními protokoly (LDAP, JDBC, SSH, ...).

Seznam standardně podporovaných koncových systémů, které umí Identity Manager spravovat pomocí tzv. konektorů, najdete v tabulce A.1 – „Seznam podporovaných koncových systémů“ v příloze.

Pokud jste v odkazované tabulce nenašli svůj systém, který byste chtěli spravovat, nezoufejte. Konektor pro správu koncového systému (Resource Adapter) je možné vyvinout na míru. V archivu instalačních souborů v adresáři REF najdete dokumentaci pro vývoj konektoru, zdrojové soubory některých konektorů a připravené šablony pro vlastní tvorbu.

IDM je plně programovatelný a rozšiřitelný software. Lze jej přizpůsobit na míru téměř každé sítě a každého koncového systému, který má být spravován. IDM si můžete představit jako výkonné jádro (motor) obalený sadou formulářů, workflow a pravidel, pomocí kterých je vytvořeno komunikační rozhraní a všechny funkce IDM.

1.1.2. A co IDM není?

link

Identity Manager není náhradou za centrální adresář (LDAP server, Active Directory) nebo databázi pro uchovávání informací o uživatelích a jejich ověřování. Je to jiný nástroj, dalo by se na něj spíš pohlížet jako na velmi chytrou správcovskou konzoli.

1.1.3. Základní pojmy a vlastnosti se kterými se můžete setkat v IDM

link
  • Virtuální identita - z důvodu bezpečnosti a snadnosti použití uchovává IDM o uživateli ve své metadatabázi minimum potřebných informací: login, jméno, email a heslo (ale i to není nutné). Další informace si v případě potřeby získá přímo ze spravovaného systému. Například pokud budete chtít znát domácí adresář uživatele v Linuxu, můžete si o informaci přímo požádat linuxový server, na kterém má uživatel účet. V případě potřeby je možné do metadatabáze ukládat i další informace o uživateli, záleží pouze na administrátorovi. Uchovávání dalších informací o uživateli v IDM může být vhodné v případě, že chcete nějaké nastavení uživatelského účtu vynucovat do výchozí hodnoty. Identity Manager umí pravidelně kontrolovat změny v uživatelských účtech a reagovat na ně.
  • Bezagentový přístup Identity Manageru umožňuje s většinou spravovaných systémů komunikovat jejich nativními protokoly, pro správu uživatelů používá standardní funkce, které spravovaný systém nabízí. Můžeme si to ukázat například na nějakém UNIXu, třeba na Solarisu. Při požadavku na založení uživatele v OS Solaris se IDM připojí pomocí ssh na spravovaný server a pomocí běžných příkazů jako je useradd a passwd provede založení uživatele. Standardně nabízí IDM možnost připojení k různým operačním systémům, databázím, CRM a ERP systémům, adresářovým serverům, emailovým a groupwareovým systémům a dalším systémům typu JMS Listener, skriptovatelné připojení na UNIX, JDBC, ...
  • ActiveSync je možné popsat jako mechanismus pro detekci změn na koncových systémech a synchronizaci s dalšími systémy.
  • Workflow automatizuje procesy schvalování a notifikace, změny oprávnění a změny údajů v identitě uživatele.

    Obrázek 1.1. Workflow - vytvoření uživatele

    Workflow - vytvoření uživatele

  • Pravidla (Rules) jsou funkce sloužící ke zjednodušení práce. Využívají se pro získávání a generování různých informací o systémech, skupinách a uživatelích. Pravidla se většinou zapisují v jazyce XPRESS. Ukázka jednoduchého pravidla, které ze jména (firstname) a příjmení (lastname) vytvoří celé jméno (fullname).

    <concat>
    <ref>global.firstname</ref>
    <string> </string>
    <ref>global.lastname</ref>
    </concat>
  • Formulář slouží ke zpracování vstupu dat od uživatelů případně pro zpracování údajů v rámci interních procesů IDM. Formuláře také slouží pro interakci s uživatelem nebo administrátorem přes webové rozhraní.
  • Pass-through Authentication: Uživatel se může přihlásit do IDM loginem, který v něm má přiřazen a heslem, jež se může ověřovat proti zvolenému koncovému systému, například Active Directory.

1.2. Jakým způsobem můžeme k IDM přistupovat?

link

Běžný přístup k Identity Manageru je přes jeho webové rozhraní. Administrátoři a vývojáři mají navíc k dispozici tlustého klienta - Business Process Editor případně NetBeans IDE.

1.2.1. Webové rozhraní

link

1.2.1.1. Administrátor

link

Rozhraní určené pro administrátory umožňuje v závislosti na přiděleném oprávnění provádět různé akce s uživatelskými účty: od jednoduchého založení, přes modifikaci účtu až po různé dávkové operace, generování statistik a mnoho dalšího.

Administrátor s nejvyššími pravomocemi má výchozí login configurator. Výchozí heslo pro uživatele configurator po instalaci je configurator, doporučuji ho co nejdříve změnit na nějaké více bezpečné.

Administrátorské rozhraní je na http://localhost:8080/idm.

Obrázek 1.2. IDM - Administrátor
IDM - Administrátor

1.2.1.2. Uživatel

link

Uživatelské rozhraní je určené pro přístup běžných uživatelů. V závislosti na konfiguraci IDM umožňuje uživateli změnit heslo a základní informace o sobě. Dále zde má uživatel přístup k formulářům pro schvalování, případně vyvolání některých akcí workflow a také si může zobrazit stav svých úloh.

Rozhraní pro uživatele je na http://localhost:8080/idm/user.

Obrázek 1.3. IDM - uživatel
IDM - uživatel

1.2.2. Business Process Editor

link

Business Process Editor (dále jen BPE) je důležitou součástí IDM. BPE je vývojářský nástroj sloužící k návrhu webových formulářů, workflow, pravidel a také umožňuje konfigurovat některé parametry IDM.

BPE je možné spouštět lokálně na stroji s nainstalovaným IDM nebo vzdáleně například z pracovní stanice. Na pracovní stanici může být samozřejmě i jiný operační systém, než máte na serveru.

1.2.2.1. Lokální spuštění BPE

link

BPE je součástí instalace Identity Manageru. Pro jeho spuštění potřebujete fungující Javu, na unixových OS ještě X server a vyexportovanou proměnnou WSHOME. Proměnná WSHOME ukazuje na místo, kde je IDM nainstalován, v mém případě je to /opt/tomcat/webapps/idm (vyexportování proměnné v Bash: export WSHOME=/opt/tomcat/webapps/idm).

BPE se poté spouští příkazem $WSHOME/bin/lh config. Po spuštění budete vyzváni k zadání pracovního adresáře (obrázek 1.4 – „BPE - Workspace location“). Pokud je zvolený adresář prázdný (neobsahuje pracovní soubory BPE, obrázek 1.5 – „BPE - Create new workspace“), budete muset nastavit parametry připojení a login s heslem (obrázek 1.6 – „BPE - Connection information“). Z BPE se k IDM připojíme jako uživatel configurator. Po startu BPE uvidíte jednoduché okno s menu nahoře a dvěma panely (obrázek 1.7 – „Business Process Editor“).

Obrázek 1.8 – „BPE - dva pohledy na jedno pravidlo“ ukazuje, jak vypadá otevřené pravidlo v různých pohledech. Objekty z IDM se otevírají v menu File -> Open Repository Object....

Obrázek 1.4. BPE - Workspace location
BPE - Workspace location

Obrázek 1.5. BPE - Create new workspace
BPE - Create new workspace

Obrázek 1.6. BPE - Connection information
BPE - Connection information

Obrázek 1.7. Business Process Editor
Business Process Editor

Obrázek 1.8. BPE - dva pohledy na jedno pravidlo
BPE - dva pohledy na jedno pravidlo

1.2.2.2. Vzdálený přístup z BPE

link

Pro vzdálený přístup je potřeba v dialogu pro nastavení parametrů připojení nastavit Connection type na SOAP a správně nastavit URL. V URL je ve většině případů potřeba změnit server a port (obrázek 1.9 – „BPE - Connection information - SOAP“).

Obrázek 1.9. BPE - Connection information - SOAP
BPE - Connection information - SOAP

1.2.3. Textová konzole

link

Při vývoji, případně správě Identity Manageru, se někdy hodí příkazový řádek. Je možné ho spustit příkazem $WSHOME/bin/lh console (obrázek 1.10 – „lh console“). Z konzole je možné spouštět některé úlohy, provádět dump databáze a vypisovat spoustu zajímavých informací.

Obrázek 1.10. lh console
lh console

1.2.4. NetBeans IDE

link

Od verze 7.0 je možné integrovat IDM s vývojovým prostředím NetBeans IDE 5. Modul do NetBeans com-sun-idm-ide.nbm je součástí balíku stažených instalačních souborů IDM. Integrace IDM a NetBeans je popsána v dokumentaci k IDM. Nemá smysl, abych to zde opisoval, proto uvedu jen pár screenshotů, abyste si udělali představu, jak integrace IDM a NetBeans vypadá.

Obrázek 1.11. IDM a NetBeans 5.5 - nový projekt
IDM a NetBeans 5.5 - nový projekt

Obrázek 1.12. IDM a NetBeans 5.5 - editace pravidla
IDM a NetBeans 5.5 - editace pravidla

1.2.5. Dokončení instalace

link

V minulém díle jsem zapomněl na malou drobnost: do adresáře $WSHOME/WEB-INF/lib nakopírujte soubory mail.jar a activation.jar a restartuje aplikační server.

1.3. Připojení IDM ke koncového systému

link

Už po prvním spuštění IDM můžete zakládat v administrátorském rozhraní uživatelské účty, ale zatím jen pro samotný Identity Manager. Abyste si mohli zkusit založení účtu i na nějakém spravovaném systému, připojíme si IDM k databázové tabulce v MySQL.

1.3.1. MySQL tabulka

link

1.3.1.1. Vytvoření testovací tabulky

link

Následující sada SQL dotazů vytvoří uživatele idm-test s heslem demo1234 a stejnojmenou databázi s tabulkou uzivatele. Pro snadnější práci s MySQL databází doporučuji nainstalovat nějaký klikací nástroj typu phpMyAdmin.

CREATE DATABASE `idm-test`;
CREATE USER "idm-test"@localhost IDENTIFIED BY "demo1234";
GRANT USAGE ON * . * TO "idm-test"@"localhost" IDENTIFIED BY "demo1234";
GRANT ALL PRIVILEGES ON `idm-test` . * TO "idm-test"@"localhost" WITH GRANT OPTION ;
USE `idm-test`;
CREATE TABLE `uzivatele` (
`login` CHAR( 16 ) NOT NULL ,
`jmeno` CHAR( 16 ) NOT NULL ,
`prijmeni` CHAR( 32 ) NOT NULL ,
`email` CHAR( 128 ) NOT NULL ,
`heslo` CHAR( 64 ) NOT NULL ,
PRIMARY KEY ( `login` )
) ENGINE = MYISAM CHARACTER SET UTF8;

1.3.1.2. Připojení k tabulce

link

Když máme tabulku v MySQL databázi vytvořenou, můžeme se k ní připojit z Identity Manageru. Konektor (Resource Adapter) pro připojení k databázové tabulce je s IDM standardně dodáván, pro jeho zprovoznění je třeba doinstalovat JDBC knihovnu pro danou DB a nakonfigurovat ho přes webové rozhraní.

Protože používáme MySQL jako úložiště pro metadata, JDBC knihovnu jsme přidali do IDM už při jeho instalaci.

Konfigurace přes webové rozhraní se provádí pod administrátorským účtem (login configurator, http://localhost:8080/idm/resources/list.jsp). Konfigurace konektoru probíhá v několika krocích:

  • Configure Managed Resources - první krok konfigurace je povolení typu konektoru, na stránce Configure Managed Resources (http://localhost:8080/idm/resources/managedResources.jsp) vyberte Database Table a uložte (Obrázek 1.13 – „Resources - Configure Types“)

    Obrázek 1.13. Resources - Configure Types
    Resources - Configure Types

  • New Resource - po uložení dokončení předchozího kroku budete vráceni na seznam koncových systémů (zdrojů). V menu Resource Type Actions zvolte položku New Resource (budete odkázáni na URL http://localhost:8080/idm/resources/resourcecreate.jsp?newView=true). V rolovacím menu zvolte typ konektoru Database Table a pokračujte dál.

  • Database Access Parameters - formulář pro nastavení připojení k databázi je přehledný (Obrázek 1.14 – „MySQL Table Resource Wizard - Database Access Parameters“). Doporučuji vyplnit následující hodnoty:

    • Database Type - MySQL
    • JDBC Driver - org.gjt.mm.mysql.Driver
    • JDBC URL Template - jdbc:mysql://%h:%p/%d?useUnicode=true&characterEncoding=UTF-8
    • Host - localhost
    • TCP Port - 3306
    • Database - idm-test
    • User - idm-test
    • Password - demo1234
    • No Passwords - False
    • Table Quoting - None

    Obrázek 1.14. MySQL Table Resource Wizard - Database Access Parameters
    MySQL Table Resource Wizard - Database Access Parameters

  • Database Tables - dalším krokem je výběr tabulky s uživateli (Table Type: TABLE, Table: uzivatele) a poté vybrání ovládaných sloupečků tabulky (Obrázek 1.15 – „MySQL Table Resource Wizard - Database Columns“).

    Obrázek 1.15. MySQL Table Resource Wizard - Database Columns
    MySQL Table Resource Wizard - Database Columns

  • Account Attributes - Sloupečky z tabulky je potřeba namapovat na proměnné Identity Manageru, k tomu slouží další dialog v průvodci konfigurací. Sloupečky login a password jsou namapovány automaticky, zbývají tedy jen sloupečky jmeno, prijmeni a email.

    Obrázek 1.16. MySQL Table Resource Wizard - Database Columns
    MySQL Table Resource Wizard - Database Columns

  • Identity Template - důležitým krokem je správné vytvoření je Identity Template, který slouží jako šablona pro tvorbu loginu uživatele v koncovém systému. V našem jednoduchém případě je Idetntity Template pouze $accountId$.
  • Identity System Parameters - posledním krokem v konfiguraci konektoru je nastavení jeho názvu (Resource Name) a zvolení atributu, který bude uživatele identifikovat ve formulářích pro změnu hesla (Display Name Attribute). Tento formulář dovoluje i další nastavení, jako je zakázání konkrétních akcí na koncovém systému (Supported Features), definici politiky hesel a loginů (Password, Account Policy), přiřazení schvalovatelů (Approvers) nebo přiřazení koncového systému organizaci (organizace jsme zatím neřešili, necháme si je na příští díl).

    Po uložení konfigurace se dostanete na stránku Configure Identity Attributes?, kde zvolíte No.

1.3.2. Založení uživatele

link

Identity Manager je napojen na tabulku v MySQL databázi a zbývá pouze otestovat zakládání uživatelů.

  • Jako uživatel Configurator na stránce Accounts->List Accounts v menu New Actions zvolte možnost New User (Obrázek 1.17 – „New User“).
  • Vyplňte Account ID (slouží jako login uživatele) a nové heslo (password), Firstname, Lastname a email.
  • V kartě Assignments přiřaďte v seznamu Individual Resource Assignment koncový systém uživateli.
  • Uložte provedené změny. Po založení uvidíte výsledek založení uživatele, tabulku s atributy a grafickou reprezentaci workflow Create User (proces založení uživatele). Dotazem do tabulky v MySQL databázi zjistíte, že uživatel v ní byl skutečně založen, případně se můžete podívat do "karty" uživatele (Obrázek 1.18 – „Edit User - uzivatel1“, klikněte na uživatele ve výpisu uživatelů).
  • Jako nově založený uživatel se můžete zkusit přihlásit do uživatelského rozhraní na adrese http://localhost:8080/idm/user a změnit heslo a email.

Obrázek 1.17. New User
New User

Obrázek 1.18. Edit User - uzivatel1
Edit User - uzivatel1

1.4. Identity Manager - Připravené demo

link

Společnost Avnet poskytla pro testovací účely nainstalovaný a nakonfigurovaný Identity Manager. Pro snadné použití je demo image vytvořen pro VMware. Z IDM jsou spravovány účty v databázi MySQL, Linuxu (CentOS) a testovacím XML souboru.

Demo systém je dostupný ke stažení na www.sunjava.cz.

1.5. Co bude příště?

link

Identity Manager je nainstalovaný, umíte se na něj připojit pomocí BPE a přes web, zvládnete připojit koncový systém a založit uživatele. V dalším díle se připojíme na Linux a MS Windows, ukážeme si jak funguje delegace práv a také si nastavíme schvalovací proces pro přidělování prostředků uživateli.

Příloha: Podporované koncové systémy

Tabulka A.1. Seznam podporovaných koncových systémů

Resource Supported Versions Active Sync Support Gateway? Communication Protocols
CRM and ERP Systems
Oracle Applications Oracle Financials on Oracle Applications 11.5.9,11.5.10 No No JDBC
PeopleSoft Component PeopleTools, 8.1 – 8.42, with HRMS, 8.0 – 8.8 Yes, Smart polling, Listener No Client connection toolkit (Sync Only)
PeopleSoft, Component Interface PeopleTools, 8.1 through 8.4. No No Client connection toolkit (Read/Write)
SAP SAP R/3, 4.5, 4.6, 4.7 No No BAPI via SAP Java Connector
SAP HR, 4.5, 4.6, 4.7 Yes, Smart polling, Listener ALE
SAP Enterprise Portal 6.20 SP2+ No No SAP User Management Engine
Siebel CRM 6.0, 7.0, 7.7, 7.8 No No Siebel Data API
Databases  
DB2 7.0, 7.2, 8.1, 8.2 No No JDBC, SSL
Microsoft SQL Server 2000, 2005 No No JDBC, SSL
MySQL 4.1 No No JDBC, SSL
Oracle 8i, 9i, 10g No No JDBC, SSL
Sybase 12.x No No JDBC, SSL
Directories  
LDAP 3.0 Yes, Smart polling, Listener No LDAP v3, JNDI, SSL
Microsoft Active Directory 2000 SP4, 2003 Yes, Smart polling Yes ADSI
NetWare NDS Netware 5.1 SP6 Netware6.0 with eDirectory 8.7.1 Novell SecretStore 3.0 Yes, Smart polling Yes NDS Client,, LDAP, SSL
Message Platforms  
Lotus Domino Gateway 5.0, 6.5 Yes, Smart polling Yes RMI, IIOP using Toolkit for Java, CORBA
Microsoft Exchange 5.5 No Yes ADSI
Note: Support for the Microsoft Exchange 5.5 resource adapter has been deprecated. Use the Active Directory resource for Exchange 2000/20003, which is integrated with Exchange.
Novell GroupWise 5.5, 6.0 No Yes NDS Client,, LDAP, SSL
Miscellaneous  
Database Table   Yes, Smart polling No JDBC
Flat File ActiveSync   Yes, Smart polling (Internal Diff engine) No  
INISafe Nexess 1.1.5   com.initech.eam.api Classes  
JMS Listener 1.1 or later Yes No Varies, per resource
Microsoft Identity Integration Server 2003 No No JDBC
Remedy Help Desk 4.5, 5.0 Yes, Smart polling Yes Remedy APIs
Scripted Gateway Not applicable   Yes Varies, per resource
Scripted Host Not applicable   No TN3270
Sun Java™ System Communications Services   Yes No JNDI over SSL or TCP/IP
Operating Systems  
AIX 4.3.3, 5.2, 5.3 No No Telnet, SSH
HP-UX 11.0, 11i v1,, 11i v2 No No Telnet, SSH
OS/400 V4r3, V4r5, V5r1, V5r2, V5r3 No No Java toolkit for AS400
Red Hat Linux Linux 8.0, 9.0 No No Telnet, SSH
Advanced Server, 2.1, 3.0, 4.0
Solaris 2.7, 7, 8, 9, 10 No No Telnet, SSH
SuSE Linux Enterprise 9 No No Telnet, SSH
Windows NT, 2000, and 2003 NT, 2000, 2003 No Yes ADSI
Security Managers  
ACF2 6.4, 6.5sp2, TSO 5.2, 5.3, CICS 2.2 No No Secure TN3270
ActivCard 5.0 (AIMS 3.6) No No AIMS SDK, HTTPS
ClearTrust 5.01 No No Server Proxy API, JNDI, SSL
Natural   No No Secure TN3270
RACF 1.x, 2.x No No Secure TN3270
SecurID ACE/Server 5.0, 6.0 for Windows No Yes SecurID, Admin API
5.1, 6.0 for UNIX SecurID TCL Interface
Top Secret 5.3 Yes, Smart polling (Filtered TSS Audit Events) No Secure TN3270
Web Single Sign On (SSO)  
IBM/Tivoli Access Manager 4.1, 5.1, 7 No No JNDI, SSL
Netegrity Siteminder Admin 5.5 No No Netegrity SDK, JNDI, SSL
LDAP 5.5 JNDI, SSL
Table 5.5 JDBC, JNDI, SSL
Sun Java System Access Manager Sun ONE Identity Server 6.0, 6.1, 6.2 No No JNDI, SSL
Note: Support for the Sun ONE Identity Server resource adapter has been deprecated. Use the Sun Java System Access Manager resource adapter instead.
Sun Java System Identity Server 2004Q2 No No JNDI, SSL
Sun Java System Access Manager 6 2005Q1, 7 2005Q4
       

Hodnocení: 100 %

        špatnédobré        

Nástroje: Tisk bez diskuse

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Diskuse byla administrátory uzamčena

20.3.2007 07:34 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
U obrazku 1.16 chybi cilovy odkaz.
20.3.2007 07:55 Robert Krátký | skóre: 94 | blog: Robertův bloček
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Dík, napraveno.
20.3.2007 07:47 CET
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Mam z toho trosku smisene pocity. Urcite to vypada zajimave, nicmene kdyz jsem to zkousel, trosku me odradila slozitost. Mame ted sice nekolik systemu pouzivajicich ruzne user DB, ale spis se to snazime sjednotit na LDAP. A kde to nepujde, tak spis pridelame jednoduche (treba PHP) rozhrani na vytvoreni uzivatele a zmenu hesla (pripadne na upravu nekolika dalsich hodnot).

Zda se mi to, nebo je IM jen pro velke podniky s 20 a vice ruznymi UserDB? Asi jsem to jeste uplne nepochopil, ale zda se mi to celkem slozite na nastaveni i pouzivani (a asi to nebude jenom zdani, kdyz ani ve druhem clanku jeste neni popis relaneho pouziti).

Povedlo se mi nainstalovat IM, nastavit ho, aby pouzival LDAP server, ale porad se mi tam plete "SPE End-User Directory" a nejde odstranit. Dokazete mi poradit, aby se tam tohle nepletlo? Proste chci spravovat stavajici LDAP server a na nem uzivatele. Zadny "SPE End-User Directory" nemam a nechci. Melo by to byt nastaveni Service Provider, ale co to proboha znamena? Vy jste ho v prikladu nemusel nastavovat?

Muzete mi dale potvrdit nebo vyvratit, ze IM pro vytvoreni uzivatele/zmenu hesla v LDAPu a MySQL neni to prave a je lepsi si napsat vlastni jednoduchej PHP skriptik? Bohuzel na spravu identity se mi to zda nevhodne, kdyz se uzivatel prihlasi, aby si zmenil heslo a ono mu to krome "Profile" nabidne "Approvals, Requests, Attestations, Work Items, Delegations".

Mozna me ohromite v pristim dile:) Budu se tesit:)
20.3.2007 10:51 Lukáš Cirkva | skóre: 10 | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Mam z toho trosku smisene pocity. Urcite to vypada zajimave, nicmene kdyz jsem to zkousel, trosku me odradila slozitost. Mame ted sice nekolik systemu pouzivajicich ruzne user DB, ale spis se to snazime sjednotit na LDAP. A kde to nepujde, tak spis pridelame jednoduche (treba PHP) rozhrani na vytvoreni uzivatele a zmenu hesla (pripadne na upravu nekolika dalsich hodnot).

Sun Identity Manager (IdM) má velké množství funkcí a je velmi přizpůsobivý. Proto může na první pohled vyvolávát dojem složitosti. Samozřejmě všemu je třeba věnovat nějaký čas na pochopení, stejně jako studiu PHP.

Hlavní rozdíl mezi vytvořeným PHP prográmkem a IdM je to, že v IdM již máte robustní systém, který to zvládá s workflow, formluláři, zpětnou vazbou pro audit a mnoho dalšího. Tudíš není nutné většinou nic kódovat, ovšem je třeba věnovat určitý čas konfiguraci.
Zda se mi to, nebo je IM jen pro velke podniky s 20 a vice ruznymi UserDB? Asi jsem to jeste uplne nepochopil, ale zda se mi to celkem slozite na nastaveni i pouzivani (a asi to nebude jenom zdani, kdyz ani ve druhem clanku jeste neni popis relaneho pouziti).
Ne není to tak. Samozřejmě čím více je koncových systémů, tím více se z nasazení IdM profituje.
Povedlo se mi nainstalovat IM, nastavit ho, aby pouzival LDAP server, ale porad se mi tam plete "SPE End-User Directory" a nejde odstranit. Dokazete mi poradit, aby se tam tohle nepletlo? Proste chci spravovat stavajici LDAP server a na nem uzivatele. Zadny "SPE End-User Directory" nemam a nechci. Melo by to byt nastaveni Service Provider, ale co to proboha znamena? Vy jste ho v prikladu nemusel nastavovat?
Navrhuji praktickou ukázku, která bude nejlěpší. Zabýváme se se Zdeňkem konzultacemi kolem správy identit a rádi osvětlíme možnosti.

Neváhejte nás kontaktovat, provedeme ukázku podle požadavků (LDAP, unix, SQL DB ...) nebo zašleme pozvánku na nejbližší pořádaný workshop.
20.3.2007 11:16 CET
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Sun Identity Manager (IdM) má velké množství funkcí a je velmi přizpůsobivý. Proto může na první pohled vyvolávát dojem složitosti. Samozřejmě všemu je třeba věnovat nějaký čas na pochopení, stejně jako studiu PHP.

Hlavní rozdíl mezi vytvořeným PHP prográmkem a IdM je to, že v IdM již máte robustní systém, který to zvládá s workflow, formluláři, zpětnou vazbou pro audit a mnoho dalšího. Tudíš není nutné většinou nic kódovat, ovšem je třeba věnovat určitý čas konfiguraci.
Samozrejme uznavam, ze IdM je robustni a umi toho spoustu. Problem je akorat v tom, ze pokud mam LDAP a MySQL user DB a chci menit pouze hesla a pripadne nejake dalsi 2-5 nastaveni, tak se mi asi moc nevyplati ucit se IdM a konfigurovat s tim, ze 95% funkci nevyuziju, ale je jednodussi napsat behem 2 hodinek nejakou pritulnou jednoduchou PHP aplikaci (rekneme s max. 10 PHP soubory), kdyz PHP jazyk uz znam a nemusim se ho ucit a muzu ho vyuzit na X dalsich projektu. Verim, ze vam by konfigurace v nasem prostredi zabrala mozna i hodinku:) Ale pro me to znamena se to ucit, pak to konfigurovat, experimentovat atd. a to asi nestoji za tech 5% funkci, ktere muzu mit behem zlomku ceny za napsani PHP stranek.
Zda se mi to, nebo je IM jen pro velke podniky s 20 a vice ruznymi UserDB? Asi jsem to jeste uplne nepochopil, ale zda se mi to celkem slozite na nastaveni i pouzivani (a asi to nebude jenom zdani, kdyz ani ve druhem clanku jeste neni popis relaneho pouziti).
Ne není to tak. Samozřejmě čím více je koncových systémů, tím více se z nasazení IdM profituje.
Souhlasim. Takze pro nas pripad je asi IdM jako kanon na vrabce. Nicmene se jeste pokusim se ho nejak prokousnout, ale jak jsem koukal, je to fakt obrovskej system (primo umerne ke svym funkcim samozrejme).
Navrhuji praktickou ukázku, která bude nejlěpší. Zabýváme se se Zdeňkem konzultacemi kolem správy identit a rádi osvětlíme možnosti.
No, pockam na dalsi dil. Zatim zkusim experimentovat s vasim VMware virtualem a pokusim se to nejak skloubit s nasi instalaci za vydatne pomoci manualu k IdM:)) Prece jenom neni od veci, kdyz to clovek pochopi sam.
20.3.2007 16:47 Lukáš Cirkva | skóre: 10 | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Samozrejme uznavam, ze IdM je robustni a umi toho spoustu. Problem je akorat v tom, ze pokud mam LDAP a MySQL user DB a chci menit pouze hesla a pripadne nejake dalsi 2-5 nastaveni, tak se mi asi moc nevyplati ucit se IdM a konfigurovat s tim, ze 95% funkci nevyuziju, ale je jednodussi napsat behem 2 hodinek nejakou pritulnou jednoduchou PHP aplikaci (rekneme s max. 10 PHP soubory), kdyz PHP jazyk uz znam a nemusim se ho ucit a muzu ho vyuzit na X dalsich projektu. Verim, ze vam by konfigurace v nasem prostredi zabrala mozna i hodinku:) Ale pro me to znamena se to ucit, pak to konfigurovat, experimentovat atd. a to asi nestoji za tech 5% funkci, ktere muzu mit behem zlomku ceny za napsani PHP stranek.
Dovolím si tvrdit, že po jednoduché prezentaci za 2 hodiny nastavíte IdM na LDAP a MySQL také se všemi dalšími přínosy. A zároveň můžete používat tyto nově nabyté znalosti i systém v dalších projektech se správou uživatelů. :-)
20.3.2007 13:10 Yellow
Rozbalit Rozbalit vše Počet uživatelů
Zajímala by mě náročnost systému. Jaký hardware by byl potřeba pro obsloužení, řekněme, sedmi tisíc uživatelů?
20.3.2007 14:22 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Počet uživatelů
Abych mohl správně odpovědět, je nutné definovat co znamená "obsloužení" a kolik bude k IDM přistupovat uživatelů najednou.

Je rozdíl jestli mám v DB 10000 uživatelů kde si 100 lidí za den bude měnit heslo nebo použiju IdM pro registraci studentů na začátku školního roku kde bude během jednoho týdne k IdM přistupovat mnoho studentů najednou a vytvářet si konta na školních serverech. Také jde o to jaké workflow se bude používat, co vše bude provádět a hlavně kde to bude provádět.

Pro "běžné" použití by měl stačit počítač typu Pentium III na 1GHz a 512 MiB RAM - 1GiB RAM.
-- Nezdar není hanbou, hanbou je strach z pokusu.
21.3.2007 14:07 zip
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Ahoj, v soucasne dobe silne uvazujeme o necem podobnem jako je IM. Radi bychom overovali usery + extra nastaveni pro konkretni system/aplikace centralne z jednoho mista. Pokud vyznam IM dobre chapu,tak v nem zpocesuji zakladani/zmenu a mazani useru a IM se mi pres "pluginy" postara na nastaveni usera + extra nastaveni na konktretnim systemu (treba IS,apache,db,aplikace v php atd...) Take predpokladam,ze pluginy bude jednoduche naprogramovat nebo ze vyuziji prilozene "standartni". Je o tomto IM?
21.3.2007 16:32 Zdeněk Burda | skóre: 61 | blog: Zdendův blog | Praha
Rozbalit Rozbalit vše Re: Správa uživatelů v síti - 2 (Sun Java Identity Manager)
Ahoj,

přesně tak, IdM slouží ke "zprocesování" správy uživatelských kont s možností definovat si různé vlastní procesy, delegovat pravomoci, využívat schvalovatelů, eskalací a podobně.

"Plugin" se v tomto případě nazývá konektor nebo resource adapter.

Součástí IdM jsou konektory pro běžné systémy + univerzální konektory s možností vlastních operací pro připojení přes JDBC (Scripted JDBC) a v shellu (Shell Script). Dále některé konektory umí pre a post akce, což znamená že například po založení uživatele do RedHatu může být spuštěn skript který dál něco doupraví a podobně.

No a nakonec je možné napsat i vlastní konektor úplně celý. S IdM je dodávána dokumentace pro tvordbu vlastního konektoru.

Pro Scripted JDBC konektor, Shell Script konektor, pre/post akce a mnoho dalších věcí jsou v dokumentaci konkrétní ukázky. Mám připravený text kde se vytváří Scripted JDBC i Shell Script konektor. V Scripted JDBC ukážu jak spravovat účty v PostgreSQL databázi a Shell Script bude spravovat virtualhosty pro Apache webserver.
-- Nezdar není hanbou, hanbou je strach z pokusu.
ISSN 1214-1267   www.czech-server.cz
© 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.