IAM

Suite à un crash disque sur un serveur mutualisé de base de données de développement - non sauvegardé, nous avons du recréer la partie base de données.

La base Oracle a été créée par les DBA, conformément aux recommandations avec les tablespaces ENROLE_DATA et ENROLE_INDEXES.

Le paramètre nls_length_semantics doit avoir pour valeur BYTE. Dans le cas contraire, oracle ne peut pas créer certains index, trop longs.
Il faut ensuite :

Gros problème ces temps-ci, alors qu'on voulait démarrer en production : lors de certaines opérations dans ITIM, l'annuaire ITDS crash sans message dans ses logs. J'avais déjà remarqué des soucis relativement similaires sur notre plate-forme de développement, que j'avais mis sur le compte de mises à jour nombreuses et pas forcément très carrées...

Lorsque l'annuaire s'arrête, on n'a aucun message dans son fichier ibmslapd.log. Par contre, on constate dans le fichier /var/log/messages :

Comme tout logiciel complexe ITIM est parfois la source de problèmes, plus ou moins graves.

Cette section recense les soucis que l'ai pu avoir sur le produit et son environnement (Websphere, ITDS)

Contexte

Nous avons récemment voulu gérer des comptes dans ITIM, pour des besoins de provisionnement d'applications distantes, alimentées via des flux fichiers.
Pour éviter de mettre en place un flux fichier ou une autre ressource (type LDAP par exemple), nous avons pensé utiliser un service manuel : l'intérêt est de ne pas avoir de composant technique supplémentaire, tout en gardant la traçabilité des comptes de la personne.

Ceci se fait en plusieurs étapes :

Par défaut, ITIM est fourni avec un adaptateur LDAP, souvent fort utilisé.

L'adapatateur Active Directory est lui aussi généralement mis en place, couplé avec la synchronisation de mots de passe.

Cependant, il existe des cas où ces adapateurs ne sont pas suffisants :

• Schéma de données trop restreint par rapport aux besoins de l'entreprise (pour l'adaptateur LDAP)
• Type de service non supporté (Fichier, AS/400, etc.).

Dans ces cas, il est nécessaire de développer de nouveaux types d'adaptateurs / services.

Après avoir configuré une instance ITIM, il est intéressant d'en avoir une vue globale, ce que ne permet pas facilement la console. Ne serait-ce que pour une politique de provisionnement, il faut aller voir le détail de chaque attribut pour identifier le code javascript utilisé. IBM propose un outil, DocTool, qui génère un rapport sur une configuration existante.

Il est très fréquent de vouloir ajouter ses propres attributs et classes d'objets à un annuaire LDAP, car les classes et attributs standards ne couvrent pas tous les cas fonctionnels. Cette opération peut maintenant être réalisée en "live" sur OpenLDAP, via l'objet cn=schema,cn=config. Il faut pour cela créer un fichier LDIF contenant la définition des attributs à ajouter et les classes d'objets, puis ajouter ce fichier LDIF dans l'annuaire.

Exemple de fichier LDIF :

La configuration IBM Tivoli Identity Manager est stocké principalement dans l'annuaire LDAP ITIM, lequel mélange les données et le paramétrage.

Dès lors, le passage d'un environnement à l'autre (typiquement développement / test / production) peut être problématique.

ITIM propose quand même des fonctions d'export / import, mais qui ne prend pas en compte tous les paramètres.

IBM Tivoli Identity Manager includes Export and Import data options, which can be used for several setup parameters : policies, groups, operations, roles, services or workflow.

Unfortunately, Forms are not exportable, and one can spend some times to design these forms. But in fact there is a simple solution to export these forms and reimport them in another TIM instance, or copy them for another entity.