Cette section fournit des informations concernant l'utilitaire NrfCaseUpdate. Les rubriques sont les suivantes :
La procédure NrfCaseUpdate est nécessaire pour permettre la prise en charge des recherches de rôles et de ressources avec casse mixte. Cette procédure met à jour le schéma en modifiant les attributs nrfLocalizedDescrs et nrfLocalizedNames, qui sont utilisés par les pilotes de l'application utilisateur. Si votre arborescence eDirectory a été créée sous RBPM 3.6.1 ou une version antérieure, cette procédure est nécessaire avant l'installation de RBPM 4.0.1 ou la migration de pilotes existants vers Designer 4.0.1. Cette étape n'est pas nécessaire si vous procédez à une nouvelle installation de la version 4.0.1 ou à une mise à niveau depuis la version 3.7.
Cette section présente les étapes permettant de mettre à niveau et de migrer un environnement RBPM existant. Elle met l'accent sur l'utilisation de Designer 4.0.1 pour la création de sauvegardes des pilotes de l'application utilisateur avant de procéder à n'importe quelle mise à niveau.
Installez Designer 4.0.1.
Vérifiez l'état de santé du coffre-fort d'identité afin de vous assurer que le schéma s'étend correctement. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.
Importez les pilotes d'application utilisateur existants dans Designer 4.0.1.
Archivez le projet Designer. Il correspond à l'état du pilote avant l'installation de RBPM 4.0.1.
Exécutez le processus NrfCaseUpdate.
Créez un projet Designer 4.0.1 et importez le pilote d'application utilisateur à préparer pour la migration.
Installez RBPM 4.0.1.
Migrez le pilote à l'aide de Designer 4.0.1.
Déployez le pilote migré.
Lorsque l'utilitaire NrfCaseUpdate met à jour des attributs existants dans le schéma eDirectory, toutes les instances existantes de ces attributs sont effectivement supprimées. Les pilotes d'application utilisateur se servent de ces attributs et seront donc affectés par cette mise à jour du schéma, en particulier les noms et la description des rôles et des séparations des tâches, les requêtes d'attestation personnalisées et les rapports.
La procédure NrfCaseUpdate met à jour les pilotes d'application utilisateur existants via un utilitaire permettant d'exporter ces pilotes vers un fichier LDIF avant d'exécuter la mise à jour du schéma. L'importation des fichiers LDIF après la mise à jour du schéma recrée tous les objets supprimés au cours de la mise à jour.
Comme toujours, il est important de sauvegarder tous les pilotes d'application utilisateur existants, par mesure de précaution. N'oubliez pas que les mises à jour de schéma affectent toutes les partitions Identity Manager. Il est donc essentiel d'utiliser NrfCaseUpdate pour exporter les pilotes d'application utilisateur dans l'arborescence.
Novell recommande l'utilisation de Designer pour créer une sauvegarde de vos pilotes d'application utilisateur. Avant de lancer la procédure NrfCaseUpdate, suivez les instructions ci-après pour sauvegarder vos pilotes d'application utilisateur existants :
Installez Designer 4.0.1 (fourni avec RBPM 4.0.1).
Créez un coffre-fort d'identité et assignez-le au serveur Identity Manager qui héberge les pilotes d'application utilisateur.
Utilisez l'option pour importer votre ensemble de pilotes et vos pilotes d'application utilisateur.
Enregistrez et archivez ce projet Designer.
L'utilitaire NrfCaseUpdate vous invite à exporter chaque pilote, puis procède à la mise à jour du schéma. Si vous n'êtes pas sûr de l'existence ou de l'emplacement de certains pilotes d'application utilisateur, il est conseillé de ne pas poursuivre, car la mise à jour du schéma risque d'invalider les pilotes d'application utilisateur existants.
Il est possible d'utiliser le JRE fourni dans le répertoire d'installation d'Identity Manager, généralement /root/idm/jre, pour exécuter NrfCaseUpdate. Si vous avez besoin de connexions SSL à eDirectory, vous devez activer votre JRE pour les connexions SSL. Pour ce faire, suivez les instructions décrites à la Section 3.2.7, Activation du JRE pour les connexions SSL.
Vous pouvez également exécuter l'utilitaire NrfCaseUpdate à distance, à partir d'un hôte avec un JRE doté du certificat eDirectory, par exemple l'hôte du serveur de l'application utilisateur. Dans ce cas, vous devez quitter l'utilitaire NrfCaseUpdate à l'aide de la combinaison de touches CTRL+C, après avoir exporté tous les pilotes vers le fichier LDIF et avant de mettre à jour le schéma. Ensuite, vous pouvez mettre à jour le schéma manuellement sur l'hôte eDirectory à l'aide de la commande ndssch, comme illustré ci-après :
ndssch -h hostname adminDN update-nrf-case.sch
REMARQUE :NrfCaseUpdate accepte plusieurs arguments dans la ligne de commande. Utilisez la commande -help ou -? pour plus d'informations.
Pour exécuter l'utilitaire NrfCaseUpdate, procédez comme suit :
Assurez-vous d'avoir vérifié l'état de santé du coffre-fort d'identité avant d'exécuter l'utilitaire NrfCaseUpdate. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.
Avant de lancer l'utilitaire, identifiez tous les DN des pilotes d'application utilisateur existants. Pour exporter ces pilotes vers LDIF, vous devrez indiquer les références d'authentification.
Exécutez l'utilitaire NrfCaseUpdate. Vous pouvez éventuellement utiliser la commande -v pour afficher des résultats plus détaillés :
/root/idm/jre/bin/java -jar NrfCaseUpdate.jar -v
Vous êtes invité à indiquer si vous possédez un pilote d'application utilisateur. Répondez par l'affirmative si tel est le cas. Sinon, répondez par la négative et passez à l'Étape 15.
Do you currently have a User Application Driver configured [DEFAULT true] :
Ensuite, l'utilitaire vous demande si vous possédez plusieurs pilotes d'application utilisateur. Répondez par l'affirmative si tel est le cas :
Do you currently have more than one (1) User Application Driver configured [DEFAULT false] :
Indiquez le DN de l'administrateur ainsi que les références appropriées pour l'exportation du pilote d'application utilisateur :
Specify the DN of the Identity Vault administrator user. This user must have inherited supervisor rights to the user application driver specified above. (e.g. cn=admin,o=acme):
Saisissez le mot de passe de cet administrateur :
Specify the Identity Vault administrator password:
Indiquez le nom d'hôte ou l'adresse IP du serveur Identity Manager qui héberge le pilote d'application utilisateur :
Specify the DNS address of the Identity Vault (e.g acme.com):
Spécifiez le port à utiliser pour la connexion :
Specify the Identity Vault port [DEFAULT 389]:
Ensuite, vous êtes invité à préciser si vous voulez utiliser SSL pour la connexion. Dans l'affirmative, le JRE nécessite que le certificat eDirectory soit présent dans la zone de stockage approuvée. Pour conserver le certificat, suivez les instructions décrites à la Section 3.2.7, Activation du JRE pour les connexions SSL.
Use SSL to connect to Identity Vault: [DEFAULT false] :
Indiquez le nom distinctif complet du pilote d'application utilisateur à exporter :
Specify the fully qualified LDAP DN of the User Application driver located in the Identity Vault (e.g. cn=UserApplication,cn=driverset,o=acme):
Si le DN contient un espace, il doit être délimité par des guillemets simples, comme dans l'exemple ci-dessous :
'cn=UserApplication driver,cn=driverset,o=acme'
Indiquez le nom du fichier LDIF dans lequel l'application utilisateur va être exportée :
Specify the LDIF file name where the restore data will be written (enter defaults to nrf-case-restore-data.ldif):
L'utilitaire publie les informations relatives aux objets enregistrés dans le fichier LDIF.
Si vous avez indiqué que vous possédez plusieurs pilotes, vous recevez l'invite suivante :
You indicated you have more than one (1) User Application Driver to configure. Do you have another driver to export? [DEFAULT false] : If you have another driver to export then specify true. The utility will repeat Steps 5 through 12 for each driver. If you do not have another driver to export then specify false. Ensure that you have exported all existing drivers before proceeding as the utility will proceed with the schema update.
Vous êtes invité à indiquer l'emplacement de votre utilitaire ndssch ainsi que les emplacements génériques. L'utilitaire ndssch permet de mettre à jour le schéma.
Please enter the path to the schema utility: For Unix/Linux typically /opt/novell/eDirectory/bin/ndssch For Windows C:\Novell\NDS\schemaStart.bat:
L'utilitaire publie le message d'état pour la mise à jour du schéma :
Schema has successfully been updated for mixed case compliance!
REMARQUE :veillez à accorder suffisamment de temps à eDirectory pour la synchronisation des modifications du schéma, faute de quoi l'importation du fichier LDIF échoue.
Vérifiez de nouveau l'état de santé du coffre-fort d'identité afin de vous assurer, avant l'importation du fichier LDIF, que le schéma s'est étendu correctement. Pour la procédure de vérification de l'état de santé, reportez-vous au document TID 3564075.
Une fois que tous les pilotes sont exportés et que la mise à jour du schéma est correctement appliquée, vous devez importer chaque fichier LDIF. Indiquez que vous souhaitez autoriser les références en aval dans votre commande ice. La ligne de commande ci-dessous est fournie à titre d'exemple :
ice -l [mylogfile.log] -v -SLDIF -f [your_created_ldif] -c -DLDAP -s [hostname] -p [389/636] -d [cn=myadmin,o=mycompany] -w [MYPASSWORD] -F -B
Lorsque tous les pilotes sont réimportés, vérifiez que le processus NrfCaseUpdate a abouti. Pour plus d'informations, reportez-vous à la Section 3.2.6, Vérification du processus NrfCaseUpdate.
Une fois que vous avez vérifié que le processus NrfCaseUpdate a abouti, vous pouvez procéder à l'installation de RBPM 4.0.1.
Une fois tous les pilotes réimportés, assurez-vous que la restauration a abouti. Pour ce faire, vérifiez les éléments suivants dans l'application utilisateur :
Nom et description des rôles
Nom et description des séparations des tâches
Requêtes d'attestation, y compris les requêtes personnalisées
Rapports
Une fois cette vérification terminée, vous pouvez poursuivre l'installation et effectuer la mise à niveau vers RBPM 4.0.1.
Cette section explique comment configurer le JRE pour qu'il utilise une connexion SSL.
En premier lieu, exportez un certificat auto-signé à partir de l'autorité de certification dans le coffre-fort d'identité :
Dans la vue d'iManager, cliquez sur .
Sélectionnez l'objet Autorité de certification pour le coffre-fort d'identité, puis cliquez sur . Il se trouve généralement dans le conteneur Sécurité et est nommé NOM_ARBORESCENCE CA.Security.
Cliquez sur .
Cliquez sur .
Lorsque vous êtes invité à indiquer si vous souhaitez exporter la clé privée avec le certificat, cliquez sur , puis sur .
Sélectionnez le format DER binaire.
Cliquez sur le lien .
Accédez à l'emplacement dans lequel vous souhaitez enregistrer le fichier, puis cliquez sur .
Cliquez sur .
Ensuite, importez le certificat auto-signé dans la zone de stockage approuvée du JRE.
Exécutez l'utilitaire keytool inclus dans le JRE.
Importez le certificat dans la zone de stockage approuvée de l'administrateur d'assignation des rôles. Pour ce faire, saisissez la commande suivante en réponse à l'invite :
keytool -import -file name_of_cert_file -trustcacerts -noprompt -keystore filename -storepass password
Par exemple :
keytool -import -file tree_ca_root.b64 -trustcacerts -noprompt -keystore cacerts -storepass changeit
Si la mise à jour du schéma est appliquée à un pilote d'application utilisateur avant que l'utilitaire NrfCaseUpdate traite ce pilote, ce dernier est invalidé et vous devez le restaurer à l'aide d'une sauvegarde.
IMPORTANT :ne supprimez et ne renommez pas le pilote d'application utilisateur invalidé, car cela invaliderait toutes les associations du pilote. En outre, si le pilote du service de rôles et de ressources est en cours d'exécution et que vous supprimez le pilote d'application utilisateur, le pilote du service de rôles et de ressources détecte les suppressions de rôles et supprime les rôles des utilisateurs concernés.
Par ailleurs, il ne suffit pas de redéployer le pilote sauvegardé dans Identity Manager, car le changement de schéma ne peut pas être actualisé de cette façon. La procédure suivante effectue la restauration en déployant une copie renommée du pilote afin de générer les données à restaurer.
Cette procédure décrit le processus de restauration d'une sauvegarde du pilote d'application utilisateur à l'aide de Designer 4.0.1 :
Redémarrez le serveur eDirectory afin de vérifier que la modification du schéma a été prise en compte.
Ouvrez une copie du projet Designer 4.0.1 contenant la sauvegarde du pilote d'application utilisateur UserAppDriver. Cette procédure modifie le nom du pilote ; il est donc important d'utiliser une copie du projet.
Sélectionnez le connecteur entre le pilote d'application utilisateur et le coffre-fort d'identité, cliquez avec le bouton droit de la souris, puis choisissez .
Indiquez un nouveau nom, par exemple UserAppDriver_restore. Cliquez sur , puis sur .
Cliquez sur pour enregistrer le projet.
Synchronisez le schéma du coffre-fort d'identité : sélectionnez le coffre-fort d'identité, puis accédez au menu et choisissez .
Enregistrez le projet.
Déployez le pilote renommé : sélectionnez le pilote puis choisissez .
Exécutez l'utilitaire NrfCaseUpdate et exportez le pilote renommé vers un fichier LDIF.
Créez une copie du fichier LDIF afin de pouvoir le modifier.
Modifiez le fichier LDIF et renommez toutes les références du pilote en fonction du pilote d'application utilisateur que vous restaurez. Par exemple, si votre pilote d'application utilisateur initial est cn=UserAppDriver, renommez cn=UserAppDriver_restore en cn=UserAppDriver. Cette étape crée un fichier LDIF reflétant le pilote d'application utilisateur réel.
Importez le fichier LDIF modifié à l'aide de la commande ice :
ice -l[mylogfile.log] -v -SLDIF -f[your_created_ldif] -c -DLDAP -s[hostname] -p[389/636] -d[cn=myadmin,o=mycompany] -w[MYPASSWORD] -F -B
Vérifiez l'état de l'importation à l'aide de la commande ice afin de vous assurer qu'elle a abouti.
Suivez les instructions de la Section 3.2.6, Vérification du processus NrfCaseUpdate pour vérifier la restauration du pilote.
Supprimez le pilote renommé de l'ensemble de pilotes.