Crear la cuenta de programa de arranque de Content Platform Engine
Una cuenta que Content Platform Engine utiliza para establecer una conexión con el servidor de aplicaciones, acceder al árbol JNDI del servidor de aplicaciones, buscar los orígenes de datos para acceder a la GCD y arrancar las tareas en segundo plano de Content Platform Engine.
Procedimiento
- Cree la siguiente cuenta LDAP:
- cuenta de programa de arranque de Content Platform Engine
- Identificador exclusivo
- cpe_bootstrap_admin
- Descripción
- cpe_bootstrap_admin, también conocido como
el usuario de sistema Content Platform Engine, es una
cuenta que se almacena en el archivo CEMPBoot.properties
que está archivado en el archivo EAR de
Content Platform Engine. Las credenciales de la cuenta de programa de arranque se
especifican al ejecutar la tarea Configurar propiedades de programa de arranque del gestor de configuración. Cualquier despliegue
del archivo EAR para el mismo dominio de FileNet P8 debe utilizar las mismas credenciales para la cuenta de
programa de arranque.
Content Platform Engine utiliza esta cuenta para autenticarse en el servidor de aplicaciones y acceder a los orígenes de datos especificados en la propiedad GCDConnection. Content Platform Engine no podrá iniciarse si este usuario no puede autenticarse.
Para respetar el principio de otorgar a una cuenta sólo los permisos necesarios para cumplir su propósito, no utilice la cuenta cpe_bootstrap_admin para que actúe en el rol de gcd_admin. Esto puede ocurrir si inicia la sesión como cpe_bootstrap_admin la primera vez que inicia IBM® Administration Console for Content Platform Engine después de la instalación inicial. Esta acción coloca cpe_bootstrap_admin en la pestaña de seguridad del objeto de dominio de FileNet P8 con derechos de acceso de Control total. El resultado es que cpe_bootstrap_admin funcionará como gcd_admin. Esta configuración no es aconsejable. Si esta es su configuración, considere la posibilidad de utilizar IBM Administration Console for Content Platform Engine para añadir una nueva cuenta gcd_admin a la seguridad del objeto de dominio de FileNet P8, asegurándose de otorgar Control total al dominio de P8 y, a continuación, eliminar cpe_bootstrap_admin del separador de seguridad del dominio de P8.
Para asegurarse de que no se utilice de forma inadecuada o se desconecte por seguridad accidentalmente, no utilice cpe_bootstrap_admin como cuenta de carácter general. Por ejemplo, si un usuario ha intentado iniciar la sesión en alguna otra aplicación mediante la cuenta cpe_bootstrap_admin y ha proporcionado varias veces una contraseña incorrecta hasta exceder el número permitido de errores de conexión, esta cuenta se podría bloquear fuera del servidor de directorio, dependiendo de las políticas locales. Esto significaría que Content Platform Engine no se iniciaría.
Si es posible, excluya cpe_bootstrap_admin de las políticas que necesiten un cambio periódico de contraseña.
Si cambia los parámetros de inicio de sesión del sistema de modo que las credenciales de cpe_bootstrap_admin ya no sean válidas, el resultado sería que Content Platform Engine no podría iniciarse. Por ejemplo, si ha modificado el Atributo de nombre abreviado de usuario o el Filtro de búsqueda de usuario en el proveedor de autenticación del servidor de aplicaciones y en Propiedades de dominio P8 > Modificar configuración de directorio > Hoja de propiedades de usuario de IBM Administration Console for Content Platform Engine, de samAccountName a distinguishedName, también deberá utilizar la tarea del programa de arranque del gestor de configuración para realizar el mismo cambio en el archivo EAR de Content Platform Engine.
Restricción: Si en el dominio de FileNet P8 está desplegando Content Platform Engine en un servidor de aplicaciones que tiene repositorios de usuarios federados y varios dominios, dos dominios cualesquiera no deben contener el mismo nombre abreviado para este usuario; de lo contrario, este usuario no podrá autenticarse. - Permisos mínimos necesarios
- La cuenta debe ser una cuenta de servidor de directorios que resida en un reino configurado para la autenticación de Content Platform Engine.
- Una excepción a esta regla es que si está utilizando IBM Virtual Member Manager, la cuenta de programa de arranque debe residir en el repositorio basado en archivos si el repositorio está basado en archivos o en el repositorio personalizado si el repositorio es un repositorio personalizado.
- Si el servidor de aplicaciones es WebSphere Application Server y la base de datos es DB2 for z/OS, la cuenta utilizada para cpe_bootstrap_admin debe ser miembro como mínimo del rol de supervisor de WebSphere. Esto se requiere debido a que Content Platform Engine debe añadir propiedades personalizadas a las fuentes de datos y la función de MOnitor es el privilegio mínimo requerido para leer las propiedades de la fuente de datos.
- Si está utilizando los dominios de seguridad de WebSphere Application Server, consulte "Consideraciones sobre la planificación de seguridad" para conocer los requisitos adicionales para cpe_bootstrap_admin.
Anote este valor en la Installation and Upgrade Worksheet personalizada. Para encontrar esta propiedad, busque instancias de cpe_bootstrap_admin en la hoja de trabajo.
Última actualización: Octubre de 2015
p8ppi204.htm
© Copyright IBM Corp. 2013, 2015.