Content Platform Engine-Bootstrap-Konto erstellen
Ein Konto, über das Content Platform Engine eine Verbindung zum Anwendungsserver herstellt, auf die JNDI-Baumstruktur des Anwendungsservers zugreift, nach den Datenquellen für den Zugriff auf die globalen Konfigurationsdaten sucht und die Hintergrundtasks von Content Platform Engine startet.
Vorgehensweise
- Erstellen Sie das folgende LDAP-Konto:
- Content Platform Engine-Bootstrap-Konto
- Eindeutige Kennung
- CPE-Bootstrap-Administrator
- Beschreibung
- CPE-Bootstrap-Administrator, auch als Content Platform Engine-Systembenutzer bekannt, ist ein Konto, das in der Datei
CEMPBoot.properties gespeichert ist, die in der EAR-Datei von Content Platform Engine archiviert ist. Sie geben die Berechtigungsnachweise des Bootstrap-Kontos ein, während die Configuration Manager-Task Bootstrap-Eigenschaften konfigurieren ausgeführt wird. Alle Implementierungen der EAR-Datei für dieselbe FileNet P8-Domäne müssen dieselben Berechtigungsnachweise für das Bootstrap-Konto verwenden.
Content Platform Engine verwendet dieses Konto für die Authentifizierung gegenüber dem Anwendungsserver und für den Zugriff auf die Datenquellen, die in der Eigenschaft GCDConnection angegeben sind. Content Platform Engine kann nicht gestartet werden, wenn sich dieser Benutzer nicht authentifizieren kann.
Halten Sie sich an das Prinzip, einem Konto nur die Berechtigungen zu erteilen, die es braucht, um seinen Zweck zu erfüllen, und verwenden Sie das Konto CPE-Bootstrap-Administrator nicht für die Rolle GCD-Administrator. Dies kann passieren, wenn Sie sich als CPE-Bootstrap-Administrator anmelden, wenn Sie IBM® Administration Console for Content Platform Engine zum ersten Mal nach der Erstinstallation starten. Dabei wird CPE-Bootstrap-Administrator auf die Sicherheitsregisterkarte des Domänenobjekts von FileNet P8 gesetzt und erhält Zugriffsberechtigungen mit uneingeschränktem Zugriff. Infolgedessen übernimmt CPE-Bootstrap-Administrator auch die Funktion von GCD-Administrator. Diese Konfiguration wird nicht empfohlen. Wenn Sie diese Konfiguration haben, sollten Sie in Erwägung ziehen, der Sicherheit des FileNet P8-Domänenobjekts über IBM Administration Console for Content Platform Engine ein neues Konto GCD-Administrator hinzuzufügen, um sicherzustellen, dass diesem uneingeschränkter Zugriff auf die P8-Domäne erteilt wird. Anschließend können Sie CPE-Bootstrap-Administrator von der Sicherheitsregisterkarte der P8-Domäne entfernen.
Verwenden Sie CPE-Bootstrap-Administrator nicht als Allzweckkonto, um sicherzustellen, dass es nicht missbraucht oder unabsichtlich gesperrt wird. Wenn beispielsweise ein Benutzer versuchen würde, sich über das Konto CPE-Bootstrap-Administrator an einer anderen Anwendung anzumelden, dabei mehrmals ein falsches Kennwort angeben und dadurch die maximal zulässige Anzahl Anmeldefehler überschreiten würde, könnte dieses Konto je nach lokalen Richtlinien für den Verzeichnisserver gesperrt werden. Dies würde bedeuten, dass Content Platform Engine nicht gestartet würde.
Falls möglich, sollten Sie CPE-Bootstrap-Administrator von Richtlinien ausschließen, bei denen das Kennwort regelmäßig geändert werden muss.
Wenn Sie die Anmeldeparameter Ihres Systems so ändern, dass die Berechtigungsnachweise von CPE-Bootstrap-Administrator nicht mehr gültig sind, kann Content Platform Engine nicht gestartet werden. Wenn Sie beispielsweise im Authentifizierungsprovider des Anwendungsservers und in IBM Administration Console for Content Platform Engine unter P8 Domain Properties > Modify Directory Configuration > User property sheet das Attribut für den Benutzerkurznamen oder den Benutzersuchfilter von samAccountName in distinguishedName ändern würden, müssten Sie auch die Configuration Manager-Bootstrap-Task verwenden, um dieselbe Änderung in der Content Platform Engine-EAR-Datei vorzunehmen.
Einschränkung: Wenn Sie Content Platform Engine auf einem Anwendungsserver mit eingebundenen Benutzerrepositorys und mehreren Realms in Ihrer FileNet P8-Domäne implementieren, müssen Sie sicherstellen, dass nicht zwei Realms denselben Kurznamen für diesen Benutzer verwenden. Andernfalls ist dieser Benutzer nicht in der Lage, die Authentifizierung vorzunehmen. - Mindestens erforderliche Berechtigungen
- Bei dem Konto muss es sich um ein Verzeichnisserverkonto handeln, das sich im Realm befindet und das für die Content Platform Engine-Authentifizierung konfiguriert wurde.
- Eine Ausnahme zu dieser Regel ist, dass bei Verwendung von IBM Virtual Member Manager das Bootstrap-Konto im dateibasierten Repository vorhanden sein muss, wenn Ihr Repository dateibasiert ist, oder im benutzerdefinierten Repository, wenn Ihr Repository benutzerdefiniert ist.
- Wenn Ihr Anwendungsserver WebSphere Application Server und Ihre Datenbank eine DB2 for z/OS-Datenbank ist, muss das für CPE-Bootstrap-Administrator verwendete Konto mindestens zur WebSphere-Rolle 'Monitor' (Überwachung) gehören. Dies ist erforderlich, da Content Platform Engine den Datenquellen benutzerdefinierte Eigenschaften hinzufügen muss und die Rolle 'Monitor' die für das Lesen von Datenquelleneigenschaften erforderliche Mindestberechtigung ist.
- Wenn Sie WebSphere Application Server-Sicherheitsdomänen verwenden, finden Sie in "Aspekte der Sicherheitsplanung" zusätzliche Anforderungen für CPE-Bootstrap-Administrator.
Notieren Sie diesen Wert in Ihrem angepassten Installations- und Upgradearbeitsblatt. Suchen Sie im Arbeitsblatt nach Vorkommen von CPE-Bootstrap-Administrator, um diese Eigenschaft zu finden.
Letzte Aktualisierung: März 2016
p8ppi204.htm
© Copyright IBM Corp. 2013, 2016.