Configuration d'un serveur d'annuaire avec équilibreur de charge ou plusieurs contrôleurs de domaine

Si votre serveur LDAP utilise l'équilibreur de charge ou plusieurs contrôleurs de domaine qui modifient de manière dynamique la liste des hôtes et que la connexion entre LDAP et le serveur BigFix Inventory est sécurisée, effectuez une configuration avancée du serveur BigFix Inventory. Le serveur LDAP peut déjà être configuré dans BigFix Inventory.

Pourquoi et quand exécuter cette tâche

<install_dir> est le répertoire dans lequel le serveur BigFix Inventory est installé. Par défaut, il s'agit du chemin d'accès ci-après.
  • Linux /opt/BFI
  • Windows C:\Program Files\BigFix Enterprise\BFI
Remplacez la variable <install_dir> de la procédure par le répertoire dans lequel le serveur BigFix Inventory est installé, dans votre environnement.

Procédure

  • 9.2.9 Pour une mise à jour de l'application 9.2.9 ou ultérieure, effectuez les étapes ci-après pour configurer définitivement le serveur d'annuaire.
    1. Contactez votre administrateur de serveur LDAP afin d'obtenir un certificat public auprès de l'autorité de certification (CA) qui émet des certificats de serveur pour LDAP. Le fichier certificat doit être au format PéM, et contenir un ou plusieurs certificats (chaîne d'accréditation complète).
      Par exemple : 
      -----BEGIN CERTIFICATE-----
MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
.
.
.
MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
-----END CERTIFICATE-----
    2. Pour créer un magasin de clés de confiance et importer le certificat public du serveur LDAP dans ce magasin de clés de confiance, exécutez la commande ci-après. 
      <install_dir>/jre/jre/bin/keytool -import -file <path_to_certificate> -alias ldapCA 
-keystore <install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore 
-storepass <password>
      Où :
      -file
      Chemin d'accès au certificat public du serveur LDAP.
      -storepass
      Mot de passe à définir pour le magasin de clés de confiance.
    3. Une fois que vous avez exécuté la commande, confirmez-la en saisissant yes sur la ligne ci-après. 
      Trust this certificate? [no]: yes
    4. Pour coder le mot de passe du magasin de clés de confiance, procédez comme suit :
      1. Définissez la variable JAVA_HOME.
        • Linux export JAVA_HOME=<install_dir>/jre/jre
        • Windows set JAVA_HOME=<install_dir>/jre/jre
      2. Exécutez la commande suivante :
        <install_dir>/wlp/bin/securityUtility encode --encoding=aes
      3. Lorsque vous y êtes invité, entrez, puis confirmez, le mot de passe que vous avez spécifié à l'étape 2.
      4. Sauvegardez le mot de passe codé. Vous en aurez besoin pour effectuer cette procédure.
    5. Sauvegardez le fichier server.xml avant de le modifier. Fournissez ensuite des informations sur l'emplacement du magasin de clés de confiance et son mot de passe dans le fichier server.xml.
      1. Ouvrez le fichier server.xml qui se trouve dans le répertoire <install_dir>/wlp/usr/servers/server1.
      2. Recherchez l'entrée keyStore qui contient l'identificateur defaultKeyStore.
        <keyStore id='defaultKeyStore'>
      3. Collez les lignes ci-après à la suite de cette entrée. Dans le paramètre password, spécifié le mot de passe codé de l'étape 3. 
        <keyStore id='ldapCustom' 
location='<install_dir>/wlp/usr/servers/server1/resources/security/ldap_truststore' 
password='{aes}xxxxXXXXxxxxXXXXxxxxXXXXxxxx'/>
  • Pour les versions antérieures à la mise à jour de l'application 9.2.9, effectuez les étapes ci-après pour configurer le serveur d'annuaire. Cette solution doit être appliquée après chaque mise à niveau d'application car les certificats que vous ajoutez conformément à cette procédure ne sont pas conservés.
    Remarque : Avant de commencer, contactez le support IBM pour qu'il vous communique le mot de passe requis lors de la configuration.
    1. Contactez votre administrateur de serveur LDAP et récupérez le certificat public auprès de l'autorité de certification (CA) qui émet les certificats de serveur pour LDAP. Le fichier certificat doit être au format PéM, et doit contenir un ou plusieurs certificats.
      Par exemple :
      -----BEGIN CERTIFICATE-----
                        MIIHZjCCBk6gAwIBAgISKESJLWXAAAACTANBgkqhkiG9w0BAQUFADBNMRMwEQYK
                        CRWmyVBwPWQBBUNdilPKJRQwpeYKCZImiZPyLGQBGRYEQ354jTEgGG7GA1UEAiU5
                        .
                        .
                        .
                        MTAzMzQxWjBZMRMwEQYKCZImiZPJVGQBGRYDbmV0MRkwFwYKCZImiZPyLGQBGRYJ
                        bnNyb290ZGV2MScwJQYDVQQDEx5DaXRXAEludGVybmFsIERldmljZSBDQSAwMyBM
                        -----END CERTIFICATE-----
    2. Copiez le fichier de certificat dans le répertoire suivant : <install_dir>/jre/jre/lib/security/.
    3. Exécutez la commande suivante : 
      <install_dir>/jre/jre/bin/keytool -import -trustcacerts -file <certificate_file_name> 
-alias certAliasName -keystore cacerts -storepass <password>

      <password> est le mot de passe fourni par le support BigFix.