1. 浏览找到包含安装文件的目录，如表 5-2中所述。

2. 从命令行起动平台的安装程序：

   java -jar IdmUserApp.jar

3. 从下拉菜单中选择一种语言，然后单击确定。

   

4. 阅读许可证协议，单击我接受许可证协议中的条款，然后单击下一步。

   

5. 阅读安装向导的“介绍”页，然后单击下一步。

6. 继续 部分 5.5.2, 选择应用程序服务器平台。

1. 选择 JBoss 应用程序服务器平台，然后单击下一步。

   

1. 校验已启动了要迁移的数据库。

2. 单击安装程序的“数据迁移”页中的是。

3. 单击选择浏览 Identity Manager 3.0 或 3.01 User Application 安装目录中的 install.properties 文件。

   通过指定以前安装的 install.properties 文件的位置，可以减少必须在下面页面中指定的项目的数目。

   

4. 系统要求您确认数据库类型、主机名和端口。确认这些内容后，单击下一步。

   

5. 单击下一步继续到部分 5.5.4, 指定 WAR 的位置或部分 5.5.5, 选择安装文件夹。

1. 如果 WAR 在默认位置，请单击恢复默认文件夹。

   或者，要指定 WAR 文件的位置，单击选择并选择某个位置。

2. 单击下一步，然后继续部分 5.5.5, 选择安装文件夹。

1. 在“选择安装文件夹”页，选择安装 User Application 的位置。如果要记住和使用默认位置，单击恢复默认文件夹；如果要为安装文件选择其他位置，单击选择并浏览某个位置。

2. 单击下一步，然后继续部分 5.5.6, 选择数据库平台。

   

1. 选择要使用的数据库平台。

   

2. 如果使用的是 Oracle 数据库，请继续 步骤 3。否则，请跳至 步骤 4。

3. 如果使用的是 Oracle 数据库，安装程序将询问所使用的版本。选择使用的版本。

   

4. 单击下一步，然后继续部分 5.5.7, 指定数据库主机和端口。

1. 填写以下字段：

   

   字段	说明
   主机	指定数据库服务器的主机名或 IP 地址。 对于群集，对其中每个成员指定相同的主机名或 IP 地址。
   端口	指定数据库的侦听器端口号。 对于群集，对其中每个成员指定相同的端口。

2. 单击下一步，然后继续部分 5.5.8, 指定数据库名称和特权用户。

1. 填写以下字段：

   

   字段	说明
   数据库名称（或 SID）	对于 MySQL 或 MS SQL Server，提供预配置数据库的名称。对于 Oracle，提供以前创建的 Oracle 系统标识符 (SID)。 对于群集，对其中每个成员指定相同的数据库名称或 SID。
   数据库用户	指定数据库用户。 对于群集，对其中每个成员指定相同的数据库用户。
   数据库口令/确认口令	指定数据库口令。 对于群集，对其中每个成员指定相同的数据库口令。

2. 单击下一步，然后继续部分 5.5.9, 指定 Java 根目录。

1. 单击选择浏览 Java 根文件夹。要使用默认位置，请单击恢复默认值。

   

2. 单击下一步，然后继续部分 5.5.10, 指定 JBoss 应用程序服务器设置。

1. 提供根文件夹、主机和端口：

   

   字段	说明
   基本文件夹	指定应用程序服务器的位置。
   主机	指定应用程序服务器的主机名或 IP 地址。
   端口	指定应用程序服务器的侦听器端口号。 JBoss 默认端口为 8080。

2. 单击下一步，然后继续部分 5.5.11, 选择应用程序服务器配置类型。

1. 填写以下字段：

   

   选项	说明
   单个（默认）或群集（所有）	选择应用程序服务器配置的类型： 如果此安装是群集中的一部分，选择全部 如果此安装是单独节点，而不是群集的一部分，选择默认值
   服务器名称	指定服务器名称。 服务器名称为应用程序服务器配置的名称、应用程序 WAR 文件的名称和 URL 环境的名称。安装底稿创建服务器配置，并默认根据应用程序名称命名配置。 将应用程序名称记录下来，当从浏览器启动 Identity Manager User Application 时，将其添加到 URL 中。
   工作流程引擎 ID	群集中的每个服务器都必须具有唯一的工作流程引擎 ID。有关工作流程引擎 ID 的说明，请参见《Identity Manager User Application：管理指南》中的 3.5.4 部分：对群集配置工作流程。

2. 单击下一步，然后继续部分 5.5.12, 启用 Novell Audit 日志记录。

（可选）要对 User Application 启用 Novell Audit 日志记录，请执行下列操作：

1. 填写以下字段：

   

   选项	说明
   开	启用 User Application 的 Novell Audit 日志记录。 有关设置 Novell Audit 日志记录的更多信息，请参见《Identity Manager User Application：管理指南》。
   关	禁用 User Application 的 Novell Audit 日志记录。以后可以使用 User Application 的管理选项卡来启用该功能。 有关启用 Novell Audit 日志记录的更多信息，请参见《Identity Manager User Application：管理指南》。
   服务器	如果启用了 Novell Audit 日志记录，请指定 Novell Audit 服务器的主机名或 IP 地址。如果禁用日志记录，将忽略此值。

2. 单击下一步，然后继续部分 5.5.14, 配置 User Application。

1. 单击是导入现有主密钥，或者单击否新建主密钥。

   

2. 单击下一步。

   安装过程中会将经过加密的主密钥写到安装目录中的 master-key.txt 文件中。

   如果选择否，跳至部分 5.5.14, 配置 User Application。完成安装后，必须手动记录主密钥，如部分 5.9.1, 记录主密钥中所述。

   如果选择是，继续步骤 3。

3. 如果选择导入现有经过加密的主密钥，请将密钥剪切和粘贴到安装过程窗口。

   

4. 单击下一步并继续部分 5.5.14, 配置 User Application。

1. 设置基本 User Application 配置参数（参见表 5-4中的说明），然后继续步骤 2。

   

   表 5-4 User Application 配置：基本参数

   设置类型	字段	说明
   eDirectory 连接设置	LDAP 主机	必需。 指定 LDAP 服务器的主机名或 IP 地址，及其安全端口。例如： myLDAPhost
   	LDAP 非安全端口	为 LDAP 服务器指定非安全端口。例如：389。
   	LDAP 安全端口	为 LDAP 服务器指定安全端口。例如：636。
   	LDAP 管理员	必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库 的管理连接。 此值已使用主密钥进行过加密。
   	LDAP 管理员口令	必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。
   	使用公开匿名帐户	允许没有登录的用户访问 LDAP 公开匿名帐户。
   	LDAP Guest	允许没有登录的用户访问允许的入口小程序。身份库 中必须已经存在此用户帐户。要启用 LDAP Guest，必须取消选择使用公开匿名帐户。要禁用 Guest 用户，请选择使用公开匿名帐户。
   	LDAP Guest 口令	指定 LDAP Guest 口令。
   	安全 Admin 连接	通过选中此选项，可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行（不选中此选项则相反）。
   	安全用户连接	通过选中此选项，可以要求所有使用已登录 帐户的通讯都采用安全套接字执行（不选中此选项则相反）。
   eDirectory DN	根树枝 DN	必需。 指定根树枝的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根，则将该判别名用作默认的实体定义搜索根。
   	供应驱动程序 DN	必需。 指定以前在部分 5.3, 创建 User Application 驱动程序中创建的 User Application 驱动程序的判别名。 例如，如果驱动程序为 UserApplicationDriver，驱动程序集称为 MyDriverSet，并且驱动程序集位于环境 o=myCompany 中，则可以输入以下值： cn=UserApplicationDriver,cn=myDriverSet,o=myCompany
   	User Application Admin	必需。身份库 中有权执行所指定 User Application 用户树枝的管理任务的现有用户。该用户可以使用 User Application 的管理选项卡管理入口。 如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application（请求和批准选项卡）中显示的工作流程管理任务，则必须授予此管理员对 User Application 驱动程序中包含的对象实例的相应受托者权利。有关细节，请参见《IDM User Application：管理指南》。 要在部署 User Application 之后更改指派，必须使用 User Application 中的管理 > 安全页面。
   	供应应用程序 Admin	Identity Manager 3.5.1 的供应版本中可以使用此角色。供应应用程序管理员使用供应选项卡（管理选项卡下方）来管理供应工作流程功能。用户可以通过 User Application 的请求和批准选项卡使用这些功能。在将用户指定为供应应用程序管理员之前，身份库 中必须存在此用户。 要在部署 User Application 之后更改指派，必须使用 User Application中的管理 > 安全页面。
   eDirectory DN（续）	用户树枝 DN	必需。 指定用户树枝的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 这定义用户和组的搜索范围。允许该树枝中（及其下）的用户登录 User Application。 重要说明：如果要使该用户能够执行工作流程，请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该树枝中存在。
   	组树枝 DN	必需。 指定组树枝的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。
   eDirectory 证书	密钥存储区路径	必需。 指定应用程序服务器用于运行的、JDK 密钥存储区 (cacerts) 文件的完整路径，或单击小浏览器按钮，然后浏览找到 cacerts 文件。 在 Linux 或 Solaris 上，用户必须具有写此文件的权限。
   	密钥存储区口令/确认密钥存储区口令	必需。 指定 cacerts 口令。默认值为 changeit。
   电子邮件	通知模板 Host 令牌	指定主管 Identity Manager User Application 的应用程序服务器。 例如： myapplication serverServer 此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。
   	通知模板 Port 令牌	用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。
   	通知模板 Secure Port 令牌	用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。
   	通知 SMTP 电子邮件发件人：	指定供应电子邮件中发送邮件用户的电子邮件。
   	通知 SMTP 电子邮件主机：	指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。
   口令管理	使用外部口令 WAR	通过此功能，可以指定外部忘记口令 WAR 中的“忘记口令”页，或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。 如果选中使用外部口令 WAR，则必须提供忘记口令链接和忘记口令返回链接的值。 如果没有选择使用外部口令 IDM，则 IDM 将使用默认的内部口令管理功能。/jsps/pwdmgt/ForgotPassword.jsf （开头没有 http(s) 协议）。这将用户重定向到内置于 User Application 的“忘记口令”功能，而不是外部 WAR。
   	忘记口令链接	此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。有关细节，请参见使用口令 WAR。
   	忘记口令返回链接	如果使用的是外部口令管理 WAR，需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径，例如 https:// idmhost:sslport/idm。

2. 如果要设置其他 User Application 配置参数，请单击显示高级选项。（通过滚动查看整个面板。）表 5-5说明了“高级选项”参数。

   如果不想设置此步骤中所述的其他参数，请跳至 步骤 3。

   表 5-5 User Application 配置：所有参数

   设置类型	字段	说明
   eDirectory 连接设置	LDAP 主机	必需。 为 LDAP 服务器指定主机名或 IP 地址。例如： myLDAPhost
   	LDAP 非安全端口	为 LDAP 服务器指定非安全端口。例如：389。
   	LDAP 安全端口	为 LDAP 服务器指定安全端口。例如：636。
   	LDAP 管理员	必需。 指定 LDAP 管理员的身份凭证。该用户必须已经存在。 User Application 使用此帐户来建立与身份库 的管理连接。 此值已使用主密钥进行过加密。
   	LDAP 管理员口令	必需。 指定 LDAP 管理员口令。此口令已使用主密钥进行过加密。
   	使用公开匿名帐户	允许没有登录的用户访问 LDAP 公开匿名帐户。
   	LDAP Guest	允许没有登录的用户访问允许的入口小程序。身份库 中必须已经存在此用户帐户。要启用 LDAP Guest，必须取消选择使用公开匿名帐户。要禁用 Guest 用户，请选择使用公开匿名帐户。
   	LDAP Guest 口令	指定 LDAP Guest 口令。
   	安全 Admin 连接	通过选中此选项，可以要求所有使用 Admin 帐户的通讯都通过安全套接字进行（不选中此选项则相反）。
   	安全用户连接	通过选中此选项，可以要求所有使用已登录用户帐户的通讯都通过安全套接字进行（不选中此选项则相反）。
   eDirectory DN	根树枝 DN	必需。 指定根树枝的 LDAP 判别名。 如果没有在目录抽象层中指定搜索根，则将该判别名用作默认的实体定义搜索根。
   	供应驱动程序 DN	必需。 指定以前在部分 5.3, 创建 User Application 驱动程序中创建的 User Application 驱动程序的判别名。 例如，如果驱动程序为 UserApplicationDriver，驱动程序集称为 myDriverSet，并且驱动程序集位于环境 o=myCompany 中，则可以输入以下值： cn=UserApplicationDriver,cn=myDriverSet,o=myCompany
   	User Application Admin	必需。身份库 中有权执行所指定 User Application 用户树枝的管理任务的现有用户。该用户可以使用 User Application 的管理选项卡管理入口。 如果 User Application 管理员参与 iManager、Designer for Identity Manager 或 User Application（请求和批准选项卡）中显示的工作流程管理任务，则必须授予此管理员 User Application 驱动程序中包含的对象实例的相应受托者权限。有关细节，请参见《IDM User Application：管理指南》。 要在部署 User Application 之后更改指派，必须使用 User Application 中的管理 > 安全页面。
   	供应应用程序 Admin	Identity Manager 3.5.1 的供应版本中可以使用此角色。供应应用程序管理员管理 User Application 的请求和批准选项卡中可用的供应工作流程功能。在将用户指定为供应应用程序管理员之前，身份库 中必须存在此用户。 要在部署 User Application 之后更改指派，必须使用 User Application 中的管理 > 安全页面。
   元目录用户身份	用户树枝 DN	必需。 指定用户树枝的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 这定义用户和组的搜索范围。 允许该树枝中（及其下）的用户登录 User Application。 重要说明：如果要使该用户能够执行工作流程，请确保在 User Application 驱动程序设置过程中指定的 User Application 管理员在该树枝中存在。
   	用户对象类	LDAP 用户对象类（通常为 inetOrgPerson）。
   	登录属性	代表用户的登录名的 LDAP 属性（比如 CN）。
   	命名属性	用作查找用户或组时的标识符的 LDAP 属性。这不同于登录属性，登录属性仅在登录时使用，在用户/组搜索时不使用。
   	用户成员资格属性	可选。代表用户的组成员资格的 LDAP 属性。 不要在该名称中使用空格。
   元目录用户组	组树枝 DN	必需。 指定组树枝的 LDAP 判别名 (DN) 或完全限定的 LDAP 名称。 由目录抽象层中的实体定义使用。
   	组对象类	LDAP 组对象类（通常是 groupofNames）。
   	组成员资格属性	代表用户组成员资格的属性。 不要在该名称中使用空格。
   	使用动态组	如果需要使用动态组，请选择该选项。
   	动态组对象类	LDAP 动态组对象类（一般 dynamicGroup）。
   eDirectory 证书	密钥存储区路径	必需。 指定应用程序服务器用于运行的 JRE 的密钥存储区 (cacerts) 文件的完整路径，或单击浏览器按钮，然后浏览找到 cacerts 文件。 User Application 安装过程中将修改密钥存储区文件。 在 Linux 或 Solaris 上，用户必须具有写此文件的权限。
   	密钥存储区口令 确认密钥存储区口令	必需。 指定 cacerts 口令。默认值为 changeit。
   私用密钥存储区	私用密钥存储区路径	私用密钥存储区包含 User Application 的私用密钥和证书。保留. 如果保留为空的话，将采用默认路径 /jre/lib/security/cacerts。
   	私用密钥存储区口令	口令为 changeit，除非另行指定。此口令已使用主密钥进行过加密。
   	私用密钥别名	别名为 novellIDMUserApp，除非另行指定。
   	私用密钥口令	口令为 novellIDM，除非另行指定。 此口令已使用主密钥进行过加密。
   可信密钥存储区	可信存储区路径	可信密钥存储区包含所有用于验证数字签名的可信签名者的证书。如果此路径为空的话， User Application 将从系统属性 javax.net.ssl.trustStore 中获取路径。如果那里没有路径，则假定为 jre/lib/security/cacerts。
   	可信存储口令	如果此字段为空的话， User Application 将从系统属性 javax.net.ssl.trustStorePassword 中获取口令。如果那里没有值，则使用 changeit。此口令已使用主密钥进行过加密。
   Novell Audit 数字签名和证书密钥		包容 Novell Audit 数字签名密钥和证书。
   	Novell Audit 数字签名证书	显示数字签名证书。
   	Novell Audit 数字签名私用密钥	显示数字签名私用密钥。此密钥已使用主密钥进行过加密。
   iChain 设置	已启用 ICS 注销	如果选中了此选项，则 User Application 支持同时注销 User Application 和 iChain® 或 Novell Access Manager。注销时， User Application 检查是否存在 iChain 或 Novell Access Manager Cookie，如果存在 Cookie，则将用户重路由到 ICS 注销页。
   	ICS 注销页	iChain 或 Novell Access Manager 注销页的 URL，其中该 URL 是 iChain 或 Novell Access Manager 预期的主机名。如果启用了 ICS 日志记录并且用户要注销 User Application，则将用户重路由到此页面。
   电子邮件	通知模板 Host 令牌	指定主管 Identity Manager User Application 的应用程序服务器。 例如： myapplication serverServer 此值将替换电子邮件模板中的 $HOST$ 令牌。所建立的 URL 是指向供应请求任务和批准通知的链接。
   	通知模板 Port 令牌	用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PORT$ 令牌。
   	通知模板 Secure Port 令牌	用于替换供应请求任务和批准通知所用的电子邮件模板中的 $SECURE_PORT$ 令牌。
   	通知模板 PROTOCOL 令牌	指非安全协议 HTTP。用于替换供应请求任务和批准通知所用的电子邮件模板中的 $PROTOCOL$ 令牌。
   	通知模板 SECURE PROTOCOL 令牌	指安全协议 HTTPS。用于替换供应请求任务和批准通知所使用电子邮件模板中的 $SECURE_PROTOCOL$ 令牌。
   	通知 SMTP 电子邮件发件人：	指定供应电子邮件中发送电子邮件的用户。
   	通知 SMTP 电子邮件主机：	指定供应电子邮件所使用的 SMTP 电子邮件主机。这可以是 IP 地址或 DNS 名。
   口令管理
   	使用外部口令 WAR	通过此功能，可以指定外部忘记口令 WAR 中的“忘记口令”页，或外部忘记口令 WAR 用于通过万维网服务回拨 User Application 的 URL。 如果选择使用外部口令 WAR，则必须提供忘记口令链接和忘记口令返回链接的值。 如果没有选择使用外部口令 WAR，则 IDM 将使用默认的内部口令管理功能。/jsps/pwdmgt/ForgotPassword.jsf （开头没有 http(s) 协议）。这将用户重定向到内置于 User Application 的“忘记口令”功能，而不是外部 WAR。
   	忘记口令链接	此 URL 指向“忘记口令”功能页。指定外部或内部口令管理 WAR 中的 ForgotPassword.jsf 文件。有关细节，请参见使用口令 WAR。
   	忘记口令返回链接	如果使用的是外部口令管理 WAR，需提供外部口令管理 WAR 用来通过万维网服务回调 User Application 的路径，例如 https:// idmhost:sslport/idm。
   杂项	会话超时	应用程序会话超时。
   	OCSP URI	如果客户安装使用在线证书状态协议 (OCSP)，请提供统一资源标识符 (URI)。例如，格式为 http://host:port/ocspLocal。OCSP URI 在线更新可信证书的状态。
   	授权配置路径	授权配置文件的完全限定名。
   树枝对象	所选	选择要使用的每个数字对象类型。
   	树枝对象类型	有以下标准树枝可供选择：位置、国家/地区、组织单位、组织和域。也可以在 iManager 中自己定义树枝，然后在添加新树枝对象下面添加这些树枝。
   	树枝属性名称	列出与树枝对象类型相关的属性类型名称。
   	添加新的树枝对象：树枝对象类型	指定可作为树枝的身份库 中的对象类的 LDAP 名称。 有关树枝的信息，请参见《Novell iManager 2.6 管理指南》。
   	添加新的树枝对象：树枝属性名称	提供树枝对象的属性名称。

   注：安装后，可以编辑此文件中的大部分设置。要执行此操作，请运行安装子目录中的 configupdate.sh 底稿或 Windows configupdate.bat 文件。请记住，在群集中，此文件中的设置对于群集中的所有成员必须保持一致。

3. 完成设置配置之后，单击确定，然后继续部分 5.5.15, 校验选择并安装。

1. 阅读“安装前摘要”页，校验所选择的安装参数。

2. 如有必要，使用后退返回到前面的安装页，对安装参数作出更改。

   User Application 配置页的值没有保存下来，因此，在重新指定安装中的以前页面之后，必须重新输入 User Application 配置值。

3. 当安装和配置参数满意之后，返回“安装前摘要”页，然后单击安装。

1. 如果安装成功完成，没有错误，请转至部分 5.9, 安装后的任务。

2. 如果安装提示出现错误或警告，请检查日志忘记以确定问题：

   • Identity_Manager_User_Application_InstallLog.log 保存基本安装任务的结果

   • Novell-Custom-Install.log 记录了有关安装过程中所执行的 User Application 配置

   欲获得解决问题的帮助，请参见部分 5.11, 查错。