O Content Platform Engine requer várias contas de servidor de diretório que devem ser fornecidas durante a instalação.
As contas são referidas na documentação das seguintes maneiras:
v Por um nome de exibição, por exemplo, Nome do Usuário do Banco de Dados.
O nome de exibição de uma conta é como a interface com o usuário do FileNet P8, como um programa de configuração ou uma caixa de diálogo, refere-se à conta. Várias contas possuem um nome de exibição e uma variável.
v Por um designador de variável; por exemplo cpe_db_user, usando itálicos em
minúsculas e sublinhados. O objetivo da variável é mostrar que você deve designar sua própria conta para agir na função descrita pela variável. A variável é o identificador exclusivo para uma determinada conta.
Se você vir uma referência a uma conta que não entenda, procure essa referência na documentação.
Crie os seguintes usuários e grupos:
“Criando Conta de Autoinicialização do Content Platform Engine” na página 58 Uma conta que o Content Platform Engine usa para estabelecer uma conexão com o servidor de aplicativos, acessar a árvore da JNDI do servidor de aplicativos, consultar as origens de dados para acessar o GCD e iniciar tarefas em segundo plano do Content Platform Engine.
“Criando o Administrador do GCD” na página 60
Uma conta de serviço de diretório que tem acesso de Controle Total ao objeto de domínio do Content Platform Engine.
“Criando o Administrador do Armazenamento de Objeto” na página 60 Uma conta de serviço de diretório que tem acesso de Controle Total a um armazenamento de objeto Content Platform Engine.
“Criando Usuário do Serviço de Diretório (Active Directory)” na página 62 Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando Usuário do Serviço de Diretório (AD LDS)” na página 63
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando o Usuário do Serviço de Diretório (Oracle Directory Server Enterprise Edition)” na página 64
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando Usuário do Serviço de Diretório (Novell eDirectory)” na página 65 Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando Usuário do Serviço de Diretório (IBM Security Directory Server)” na página 66
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando Usuário do Serviço de Diretório (Oracle Internet Directory)” na página 67
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando Usuário de Serviço de Diretório (Diretório CA)” na página 67 Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
“Criando o Administrador do Sistema de Fluxo de Trabalho” na página 68 Uma conta do usuário do servidor de diretório que é usada pelo fluxo de trabalho para criar regiões isoladas.
“Criando Grupos de Sistema de Fluxo de Trabalho” na página 69
Grupos de servidores de diretórios cujos membros podem gerenciar os fluxos de trabalho.
Criando Conta de Autoinicialização do Content Platform Engine:
Uma conta que o Content Platform Engine usa para estabelecer uma conexão com o servidor de aplicativos, acessar a árvore da JNDI do servidor de aplicativos, consultar as origens de dados para acessar o GCD e iniciar tarefas em segundo plano do Content Platform Engine.
1. Crie a seguinte conta LDAP:
Conta de Autoinicialização do Content Platform Engine Identificador exclusivo
cpe_bootstrap_admin
Descrição
O cpe_bootstrap_admin, também conhecido como o usuário do sistema Content Platform Engine, é uma conta que é
armazenada no arquivo CEMPBoot.properties, que é arquivado no arquivo EAR do Content Platform Engine. Você insere as credenciais da conta de autoinicialização enquanto executa a tarefa Configurar Propriedades de Autoinicialização do Gerenciador de Configuração. Quaisquer implementações do arquivo EAR para o mesmo domínio FileNet P8 devem usar as mesmas credenciais para a conta de autoinicialização.
O Content Platform Engine utiliza essa conta para autenticar o servidor de aplicativos e acessar as origens de dados
denominadas na propriedade GCDConnection. O Content Platform Engine não conseguirá iniciar se esse usuário não puder autenticar.
Para estar em conformidade com os princípios de concessão para uma conta somente dessas permissões necessárias para esse propósito, não utilize a conta cpe_bootstrap_admin para a função de gcd_admin. Isso pode ocorrer se você efetuar login como cpe_bootstrap_admin na primeira vez que iniciar o IBM Administration Console for Content Platform Engine após a instalação inicial. Ao fazer isso, coloque cpe_bootstrap_admin na guia de segurança do objeto do domínio FileNet P8 com os direitos de acesso de Controle total. O resultado é que o
cpe_bootstrap_admin está funcionando como gcd_admin. Esta não
é uma configuração recomendada. Se for sua configuração, considere usar IBM Administration Console for Content Platform Engine para incluir uma nova contagcd_admin na segurança do objeto do domínio FileNet P8, certificando-se de conceder Controle Completo ao domínio P8 e, então,
removendo o cpe_bootstrap_admin da guia de segurança do domínio P8.
Para certificar-se de que isso não seja mal utilizado ou bloqueado por acidente, não utilize cpe_bootstrap_admin como conta de todos os propósitos. Por exemplo, se um usuário tentou efetuar logon em algum outro aplicativo usando a conta
cpe_bootstrap_admin e forneceu a senha errada várias vezes,
conta pode ser bloqueada no servidor de diretório, dependendo de suas políticas locais. Isso significaria que o Content Platform Engine não iniciaria.
Se possível, isente o cpe_bootstrap_admin das políticas que requerem mudança de senha periódica.
Se você alterar os parâmetros de login de seu sistema de forma que as credenciais cpe_bootstrap_admin não sejam válidas mais, o resultado será que o Content Platform Engine não poderá mais iniciar. Por exemplo, se você modificou o Atributo de Nome Abreviado do Usuárioou o Filtro de Procura do Usuário, no provedor de autenticação do servidor de aplicativos e no IBM Administration Console for Content Platform Engine
Propriedades do Domínio P8> Modificar Configuração do Diretório> Planilha de propriedades do usuário, a partir de
samAccountNameaté distinguishedName, também seria necessário
usar a tarefa de autoinicialização do Configuration Manager para fazer a mesma mudança no arquivo EAR do Content Platform Enginee.
Restrição: Se estiver implementando o Content Platform Engine em um servidor de aplicativos com repositórios do usuário federados e com diversas regiões em seu domínio FileNet P8, certifique-se de que nenhum dos dois domínios contenha o mesmo nome abreviado para esse usuário; caso contrário, esse usuário não poderá ser autenticado.
Mínimo de permissões necessárias
A conta deve ser uma conta de servidor de diretórios que reside na região que foi configurada para autenticação do Content Platform Engine.
Uma exceção a essa regra é que, se você estiver usando o IBM virtual member manager, a conta de autoinicialização deverá residir no repositório baseado em arquivo, se o repositório for baseado em arquivo, ou no repositório customizado, se o repositório for um repositório customizado.
Se o seu servidor de aplicativos for WebSphere Application Server e o seu banco de dados for Db2 para z/OS, a conta usada para cpe_bootstrap_admin deve ser um membro de pelo menos a função do WebSphere Monitor. Isto é necessário porque o Content Platform Engine deve incluir propriedades customizadas para origens de dados e a função de monitor é o privilégio mínimo necessário para ler propriedades de origem de dados.
Se você estiver usando domínios de segurança do WebSphere Application Server, consulte “Considerações de planejamento de segurança” para obter requisitos adicionais para
cpe_bootstrap_admin.
2. Registrar este valor em seu Planilha de Instalação e Upgrade customizado.
Para localizar essa propriedade, procure na planilha as instâncias de
cpe_bootstrap_admin.
Tarefas relacionadas:
“Criando o Administrador do GCD” na página 60
domínio do Content Platform Engine. Criando o Administrador do GCD:
Uma conta de serviço de diretório que tem acesso de Controle Total ao objeto de domínio do Content Platform Engine.
1. Criar a seguinte conta de servidor de diretórios: Administrador do GCD
Identificador exclusivo
gcd_admin
Descrição
O gcd_admin é capaz de criar, modificar e excluir os recursos do domínio do Content Platform Engine.
A conta gcd_admin deve residir na região de serviço de diretório especificada na tarefa Configurar LDAP do Gerenciador de Configuração.
Um administrador GCD pode conceder direitos de Controle Total a usuários e grupos adicionais, tornando-os assim também administradores do GCD. Ser um administrador GCD não o torna automaticamente um object_store_admin, que é designado na folha de propriedade do próprio armazenamento de objeto. Efetue logon em IBM Administration Console for Content Platform Engine como gcd_admin para:
v Criar o GCD ativando o assistente para Configurar Novas
Permissões de Domínio na primeira vez que você iniciar o IBM Administration Console for Content Platform Engine para estabelecer o domínio do FileNet P8.
v Executar tarefas administrativas para o domínio do FileNet P8.
Mínimo de permissões necessárias
Use o IBM Administration Console for Content Platform Engine para conceder acesso de Controle Total ao objeto do domínio do Content Platform Engine.
2. Registrar este valor em seu Planilha de Instalação e Upgrade customizado.
Para localizar esta propriedade, procure na planilha instâncias de
gcd_bootstrap_admin.
Criando o Administrador do Armazenamento de Objeto:
Uma conta de serviço de diretório que tem acesso de Controle Total a um armazenamento de objeto Content Platform Engine.
1. Criar a seguinte conta de servidor de diretórios: Administrador de Armazenamento de Objeto e grupo
Identificador exclusivo
object_store_admin ou object_store_admin_group
Descrição
Uma conta de serviço de diretório que pode administrar um armazenamento de objeto tendo acesso de Controle Total a ele. Também é possível conceder Controle Total a um
armazenamento de objeto para contas de grupo, tornando, assim, todos os membros do armazenamento de objeto do grupo administradores.
Sempre que um gcd_admin executa o assistente de
Armazenamento de Objeto, você é solicitado a especificar os usuários e grupos que devem ter acesso administrativo ao armazenamento de objeto. Portanto, cada armazenamento de objeto poderia ter um conjunto diferente de administradores de armazenamento de objeto. De forma contrária, se você desejar que os mesmos grupos administrem todos os armazenamentos de objeto no domínio do FileNet P8, é necessário incluí-los durante a criação de cada novo armazenamento de objeto usando o assistente de Armazenamento de Objeto. Por padrão, o administrador do GCD que cria o armazenamento de objeto também se torna um administrador do armazenamento de objeto, mas é possível removê-lo se o seu projeto de segurança requerer contas dedicadas para cada armazenamento de objeto e GCD.
Os direitos administrativos de armazenamento de objeto não incluem a capacidade de incluir, mover ou remover
armazenamentos de objeto, dispositivos de conteúdo fixo, áreas de cache de conteúdo ou qualquer um dos recursos de domínio do FileNet P8. Essas permissões são concedidas somente a administradores do GCD.
Um administrador de armazenamento de objeto também não é um administrador do GCD a menos que tenha recebido explicitamente essas permissões. Isso significa que um
administrador de armazenamento de objeto que não é também um administrador do GCD teria de solicitar que um
administrador do GCD criasse um novo recurso de domínio como um armazenamento de objeto. Depois que esses objetos são criados pelo administrador do GCD, porém, o
administrador de armazenamento de objeto pode preencher o armazenamento de objeto com novas classes e pastas, conteúdo de armazenamento na área de armazenamento de arquivos, designar marcações e assim por diante.
A lista de administradores de armazenamento de objeto está disponível para visualização e modificação na página de propriedades Armazenamento de Objeto > Propriedades > Segurançado IBM Administration Console for Content Platform Engine. É possível incluir ou remover usuários ou grupos dessa lista a qualquer momento posteriormente. Dica: Manter o número de contas designadas como
administradores de armazenamento de objeto ou usuários de armazenamento de objeto o menor possível melhorará o desempenho e simplificará a administração. A melhor maneira de fazer isso é usar contas de grupo em vez de grandes
números de usuários individuais. Os grupos podem ter quantos membros você desejar e podem conter outros grupos.
Mínimo de permissões necessárias
para conceder um acesso de Controle Total object_store_admin ou
object_store_admin_group a um ou mais armazenamentos de
objeto.
2. Registrar este valor em seu Planilha de Instalação e Upgrade customizado.
Para localizar esta propriedade, procure na planilha por instâncias de
object_store_admin e object_store_admin_group.
Criando Usuário do Serviço de Diretório (Active Directory):
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
1. Criar a seguinte conta de servidor de diretórios:
Conta do usuário (de ligação) do serviço de diretório (Active Directory) Identificador exclusivo
cpe_service_user
Descrição
Forneça o nome distinto completo qualificado do
cpe_service_user como o nome de usuário de ligação do serviço
de diretório ao executar o Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration Console for Content Platform Engine.
cpe_service_user executa as seguintes funções:
v Age como o usuário de conexão especificado pelo servidor
de aplicativos para procurar em regiões para autenticar um usuário quando o usuário efetua login em um cliente do Content Platform Engine.
v Age como o usuário especificado no GCD que procura
usuários e grupos para autorizar o acesso a um objeto específico do FileNet P8 depois que um usuário é autenticado.
Forneça o nome distinto completo qualificado do
cpe_service_user como o LDAPBindDN ao executar o
Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration Console for Content Platform Engine. Disponível para visualização e modificação na guia configuração do Diretório do Administration Console for Content Platform Engine. O Usuário do Serviço de Diretório não pode ser acessado usando indicações.
Mínimo de permissões necessárias
Use as ferramentas do Active Directory para conceder ao
cpe_service_user os seguintes direitos mínimos a todas as
entradas (incluindo entradas de usuário e grupo) em cada domínio de segurança que está configurado para seu domínio FileNet P8:
v Direitos de acesso de leitura (especificamente a permissão Ler todas as Propriedades) à partição do diretório de
configuração da floresta e à partição do diretório de domínio em cada domínio desejado na floresta do Active Directory. Como os usuários autenticados por padrão são membros do grupo de acesso compatível com sistema Pré-Windows 2000
que possui essas permissões, será necessário designar as permissões para cpe_service_user somente se o padrão for modificado ou os direitos de acesso de Usuários
Autenticados forem restritos.
2. Registrar este valor em seu Planilha de Instalação e Upgrade customizado.
Para localizar essa propriedade, procure na planilha as instâncias de
cpe_service_user.
Criando Usuário do Serviço de Diretório (AD LDS):
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
1. Criar a seguinte conta de servidor de diretórios:
Conta do usuário (de ligação) do serviço de diretório (Active Directory Lightweight Directory Service) (AD LDS, anteriormente conhecida como ADAM)
Identificador exclusivo
cpe_service_user
Descrição
Forneça o nome distinto completo qualificado do
cpe_service_user como o nome de usuário de ligação do serviço
de diretório ao executar o Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration Console for Content Platform Engine.
cpe_service_user executa as seguintes funções:
v Age como o usuário de conexão especificado pelo servidor
de aplicativos para procurar em regiões para autenticar um usuário quando o usuário efetua login em um cliente do Content Platform Engine.
v Age como o usuário especificado no GCD que procura
usuários e grupos para autorizar o acesso a um objeto específico do FileNet P8 depois que um usuário é autenticado.
Forneça o nome distinto completo qualificado do
cpe_service_user como o LDAPBindDN ao executar o
Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration Console for Content Platform Engine. Disponível para visualização e modificação na guia configuração do Diretório do Administration Console for Content Platform Engine. O Usuário do Serviço de Diretório não pode ser acessado usando indicações.
Mínimo de permissões necessárias
Uma conta do usuário AD LDS que o Content Platform Engine usa para conectar a uma única partição do Microsoft AD LDS. Para configurar isso, execute as seguintes etapas:
a. Inicie o ADAM ADSI Edit em Iniciar > Todos os Programas
b. Conecte-se à partição. Expanda a partição na área de janela da esquerda e clique no nó CN=Roles.) Certifique-se de ter selecionado o contêiner CN=Roles na partição, não sob o CN=Configuration. )
c. Na área de janela à direita, dê um clique com o botão direito do mouse no grupo CN=Readers e selecione Propriedades.
d. Na lista de Atributos, dê um clique duplo no atributo “membro”.
e. Clique em Incluir Conta ADAM.
f. Insira o DN integral do usuário a ser designado como usuário do serviço enquanto executa o programa de instalação do Content Platform Engine e clique em OK.
g. Clique em OK e clique em OK novamente.
2. Registrar este valor em seu Planilha de Instalação e Upgrade customizado.
Para localizar essa propriedade, procure na planilha as instâncias de
cpe_service_user.
Criando o Usuário do Serviço de Diretório (Oracle Directory Server Enterprise Edition):
Uma conta de serviço de diretório que o Content Platform Engine utiliza para conectar ao servidor de diretório.
1. Criar a seguinte conta de servidor de diretórios:
Conta do usuário do serviço de diretório (ligação) (Oracle Directory Server Enterprise Edition)
Identificador exclusivo
cpe_service_user
Descrição
Forneça o nome distinto completo qualificado do
cpe_service_user como o nome de usuário de ligação do serviço
de diretório ao executar o Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration Console for Content Platform Engine.
cpe_service_user executa as seguintes funções:
v Age como o usuário de conexão especificado pelo servidor
de aplicativos para procurar em regiões para autenticar um usuário quando o usuário efetua login em um cliente do Content Platform Engine.
v Age como o usuário especificado no GCD que procura
usuários e grupos para autorizar o acesso a um objeto específico do FileNet P8 depois que um usuário é autenticado.
Forneça o nome distinto completo qualificado do
cpe_service_user como o LDAPBindDN ao executar o
Gerenciador de Configuração e também ao executar o Assistente de Configuração de Diretório do Administration