IAM

Identity and Access Management

CA Identity Manager - Problèmes au lancement

Récemment, nous avons eu un souci lors du redémarrage d'une instance CA Identity Manager.

Démarrage du UserStore impossible

D'une part, l'annuaire UserStore ne veut pas se lancer. Lorsqu'on tente un démarrage avec la commande dxserver start, on a le message :

dxserver start userstore

Message
userstore does not exist

On vérifie bien que la configuration est là, que les fichiers de données sont également présents... Pas de processus en cours d'exécution.

En savoir plus sur CA Identity Manager - Problèmes au lancement

OpenIDM : purge des tables audit

Contexte

Dans un environnement client OpenIDM 3.1 en production depuis plusieurs mois, l'accès à l'écran d'administration des mappings met de plus en plus longtemps à s'afficher.

English Summary

It may help : if the access time to mapping administration form in OpenIDM becomes very slow, then check the numbers of lines in auditrecon table, and delete old records.

En savoir plus sur OpenIDM : purge des tables audit

OpenIDM : réduire les logs du scheduler

Chez un client, nous avons activé le niveau de log à INFO par défaut afin d'avoir des traces des opérations, notamment car on travaille sur la base d'un changelog depuis un annuaire LDAP Sun, avec un polling toutes les 10 secondes. Plusieurs providers sont ainsi déclenchés : l'un pour les utilisateurs du LDAP, un autre pour les groupes, et encore un pour les groupes AD.

Ceci a pour effet de bord de remplir les logs d'informations peu utiles, du genre :

En savoir plus sur OpenIDM : réduire les logs du scheduler

OpenLDAP : setup multiple instances on a server

Abstract : in some cases, it is interesting to have multiples instances of OpenLDAP running on the same machine. This could be used to separate data, test replication on the same server, or whatever you want.

This note will explain how to do this.

Main principles

In a standard GNU/Linux OpenLDAP install (Red Hat or Debian based), there are several files or directories used to set up OpenLDAP instance and data :

En savoir plus sur OpenLDAP : setup multiple instances on a server

Tuning OpenLDAP avec DB_CONFIG

Afin d'améliorer les performances de OpenLDAP, il est recommandé de pouvoir utiliser le plus de cache possible pour monter en mémoire les données OpenLDAP.

Ceci se fait via les réglagles du fichier DB_CONFIG, qui se trouve dans le répertoire contenant les données de l'annuaire, et qui permet de paramétrer la base de données Berkeley, utilisée comme back-end de stockage par OpenLDAP.
Par défaut, il n'y a pas de fichier DB_CONFIG créé. Par contre on peut trouver un exemple dans /usr/share/openldap-servers/DB_CONFIG.example :

En savoir plus sur Tuning OpenLDAP avec DB_CONFIG

Problème de réplication sur un annuaire Sun Directory Server

J'ai eu récomment un souci lors d'un "refresh" de la production vers la pré-production, sur un "consumer" LDAP, dans une architecture Sun DSEE répliquée (2 master, 2 hub et 2 consumers). Dans le fichier errors, on voit les lignes suivantes :

En savoir plus sur Problème de réplication sur un annuaire Sun Directory Server

Erreur de synchronisation de mot de passe AD / OpenIDM 2.1

Problème

Suite à une mise à jour sur un serveur Windows, le plug-in de synchronisation de mot de passe entre le serveur Active Directory et OpenIDM 2.1 ne fonctionnait plus.

La console d'événements Windows était remplie d'erreur, et dans le fichier de logs OPENIDM_HOME/logs/openidm0.log.0, on avait de nombreuses erreurs :

En savoir plus sur Erreur de synchronisation de mot de passe AD / OpenIDM 2.1

ISIM sur Windows 2012 R2 : la galère

Dans le cadre d'un projet de migration de ITIM 5.1 vers ISIM 6, nous avons eu la malchance (il n'y a pas d'autre terme) de devoir installer ISIM (IBM Security Identity Manager) sur un serveur Windows 2012 R2.

La conclusion est sans appel : ce n'est pas fait pour. Autant l'installation sur un Linux Red Hat prend quelques heures (avec un jeu de scripts shell), autant sur Windows 2012 on peut y passer plusieurs semaines (sans mentir).

OpenIDM - Rotation des fichiers d'audit

Versions 2.1 à 3.1

Dans les versions 2.1, 3.0 et 3.1, OpenIDM fournit un script shell qui permet de mettre en place la rotation des fichiers d'audit (OPENIDM_HOME/bin/create-openidm-logrotate.sh).

Par contre ce script a 2 inconvénients à mon sens :

En savoir plus sur OpenIDM - Rotation des fichiers d'audit

OpenIDM - les avantages et la souplesse de l'ouverture

Une fois n'est pas coutume, cet article ne sera pas (trop) orienté technique, mais fait plutôt suite à un retour d'expérience sur un projet qui se termine, et dans lequel la souplesse de OpenIDM et son côté "boîte à outils" ont permis de faire des choses qui auraient été compliquées à faire avec un autre outil (sachant que la principale solution avec laquelle je peux comparer est IBM ISIM).

En savoir plus sur OpenIDM - les avantages et la souplesse de l'ouverture

S'abonner à IAM