创建 Content Platform Engine 引导帐户
这是 Content Platform Engine 用来执行下列操作的帐户:与应用程序服务器建立连接、访问应用程序服务器的 JNDI 树、查找用于访问 GCD 的数据源以及启动 Content Platform Engine 后台任务。
过程
- 创建以下 LDAP 帐户:
- Content Platform Engine 引导程序帐户
- 唯一标识
- cpe_bootstrap_admin
- 描述
- cpe_bootstrap_admin(又称为 Content Platform Engine
系统用户)是存储在 Content Platform Engine EAR 文件中归档的
CEMPBoot.properties 文件中的帐户。在运行 Configuration Manager 的配置引导程序属性任务时,您将输入引导程序帐户的凭证。在同一个 FileNet P8 域中,对 EAR 文件进行的任何部署都必须对引导程序帐户使用相同的凭证。
Content Platform Engine 使用此帐户向应用程序服务器进行认证并访问在 GCDConnection 属性中指定的数据源。如果此用户不能够通过认证,那么 Content Platform Engine 将无法启动。
为了符合有关“为帐户仅授予实现目标所需要的许可权”的准则,请不要使用 cpe_bootstrap_admin 帐户来充当 gcd_admin 角色。如果您在初始安装之后首次启动 IBM® Administration Console for Content Platform Engine 时以 cpe_bootstrap_admin 身份登录,就会发生这种情况。这样做会在 FileNet P8 域对象的“安全性”选项卡上添加 cpe_bootstrap_admin,并且该帐户具有“完全控制”访问权。其结果是 cpe_bootstrap_admin 充当 gcd_admin。建议您不要使用此配置。如果您采用此配置,那么请考虑使用 IBM Administration Console for Content Platform Engine,将新的 gcd_admin 帐户添加到 FileNet P8 域对象的安全性设置中,并确保授予该帐户对于 P8 域的“完全控制”访问权,然后从此 P8 域的“安全性”选项卡中除去 cpe_bootstrap_admin。
为了确保它不被误用或者被意外锁定,请不要使用 cpe_bootstrap_admin 作为通用帐户。例如,如果某个用户试图使用 cpe_bootstrap_admin 帐户来登录到另外某个应用程序并且多次提供错误的密码,从而超出所允许的登录失败次数,那么目录服务器可能会锁定此帐户(这取决于本地策略)。这意味着,Content Platform Engine 将无法启动。
如果有可能,请从需要定期更改密码的策略中免除 cpe_bootstrap_admin。
如果您更改了系统的登录参数而使得 cpe_bootstrap_admin 凭证不再有效,那么将导致 Content Platform Engine 无法启动。例如,如果您在应用程序服务器的认证提供程序中以及 IBM Administration Console for Content Platform Engine 的 P8 域属性 > 修改目录配置 > 用户属性表中,已将用户短名称属性或用户搜索过滤器从 samAccountName 修改为 distinguishedName,那么还需要使用 Configuration Manager 引导程序任务在 Content Platform Engine EAR 文件中进行相同更改。
限制: 如果正在带有联合用户存储库的应用程序服务器上部署 Content Platform Engine,并且 FileNet® P8 域包含多个域,请确保每个域中此用户的短名称都不相同;否则,此用户将无法认证。 - 最低必需许可权
- 此帐户必须是域中已经为 Content Platform Engine 认证配置的目录服务器帐户。
- 此规则的一个例外情况如下:当使用 IBM 虚拟成员管理器时,引导程序帐户必须在基于文件的存储库中(如果存储库基于文件)或在定制存储库中(如果存储库是定制存储库)。
- 如果您的应用程序服务器是 WebSphere® Application Server 且您的数据库是 DB2® for z/OS®,那么用于 cpe_bootstrap_admin 的帐户必须至少是 WebSphere 监视员角色的成员。此帐户是必需的,因为 Content Platform Engine 必须向数据源添加定制属性,并且监视员角色是读取数据源属性所需的最低权限。
- 如果要使用 WebSphere Application Server 安全域,请参阅“安全性规划注意事项”,以了解 cpe_bootstrap_admin 的其他需求。
请在定制的安装和升级工作表中记录此值。要查找此属性,请搜索工作表以获取 cpe_bootstrap_admin 的实例。
最近一次更新时间: 2015 年 10 月
p8ppi204.htm
© Copyright IBM Corporation 2013, 2015.