比如一个公司起先是使用 AD 目录服务器,但它并购了一家使用 Tivoli 目录服务器的公司。与其花费巨大的人力物力迁移和合并两个目录服务器,一个省时省力的方法是配置一个多 LDAP 的环境。最后,虽然本教程以 AD 和 Tivoli 目录服务器为例,但是对使用其他的 LDAP 服务器来配置多 LDAP 的 FileNet P8 环境也具有巨大的参考价值,毕竟涉及到的基本概念以及相关的操作步骤都是大同小异的。
FileNet P8 是整个内容管理以及流程管理平台的统称,需要使用企业级的目录服务器来满足其认证(Authentication)和授权(Authorization)的需求。FileNet P8 有三大核心组件,分别是 Workplace(也称为 Application Engine(AE))和 WorkplaceXT (WPXT),作为其面向终端用户的应用前端;Content Engine(CE),作为内容管理的核心;以及 Process Engine(PE),作为流程管理的核心。关于认证,AE,WPXT 和 CE 都是部署在应用服务器上,认证是通过调用应用服务器的 JAAS 服务(Java Authentication and Authorization Service)来完成的。而 PE 的认证是通过 CE 来完成,所以有关于认证的 LDAP 配置是在应用服务器上完成。而对于授权来说,三大组件都是自己管理授权,所以并没有用到应用服务器 JAAS 服务的授权模块的功能。而用户和组的信息是通过 CE 直接连接 LDAP 服务器来取回的,所以授权部分的配置部是在 CE 的企业管理器(FileNet Enterprise Manager)里完成,我会在接下来的章节里提供更详细的介绍。
而对于目录服务器来说,我们一般都是指 LDAP(轻量目录访问协议)目录服务器,因为大多数的企业级目录服务器都是使用这种协议来进行通讯的。现在 FileNet P8 最新版本是 P8 5.1,支持大多数市面上比较流行的 LDAP 目录服务器,包括 Microsoft Windows Active Directory (AD),IBM Tivoli Directory Server (TDS),Novell eDirectory,Sun Java Directory Server,Oracle Internet Directory,CA Directory。
一般来说,一个企业很可能拥有多种或者是多台 LDAP 服务器,原因可能是多方面的,包括但不限于:
针对不同的用途,企业可能拥有多个应用解决方案系统,而不同的系统需要维护自己的 LDAP 服务器,比如 P8 系统和其他应用系统。 大型企业,特别是跨国企业,针对不同的地区创建 LDAP 目录服务器,比如中国地区的 AD 目录服务器和美国地区的 AD 目录服务器 企业出于合并,收购等原因合并成一个公司,由于历史原因拥有多种 LDAP 服务器
与其花费大量的时间和精力迁移和合并多种或者多台 LDAP 服务器,更好的方法是配置一个多 LDAP 的环境,这就是这片文章的意义所在。
在下一章节中,我将会介绍一个同时拥有 AD 和 TDS 两种目录服务器的 FileNet P8 的实例。虽然文章是围绕这两种特定的 LDAP 产品展开,但是对于配置其他的目录服务器产品也是有指导意义的。涉及的主要概念和配置过程其实大同小异,当然对相关 LDAP 产品的熟悉也是必要的。作为最佳实践的一部分,建议读者跟着本文介绍的系统配置实践一遍,待熟悉整个过程及相关概念之后,再进而选择所需要使用的 LDAP 产品,实现最终需求的多 LDAP FileNet P8 环境。
实例:一个 AD 和 TDS 的多 LDAP FileNet P8 环境
以下假设一个使用 AD 作为目录服务器的 P8 5.1.0 的环境已经创建完成。在此基础上我会简要的介绍一下创建 AD 的过程,重点会放在 TDS 的创建以及后续联合到 P8 环境的配置过程上。
该实例使用的组件如下:
Microsoft Windows Server 2008 R2 IBM Tivoli Directory Server (TDS) 6.3 for Windows x86-64 IBM DB2 9.7.5 Enterprise Server Edition IBM Websphere Application Server (WAS) 7.0.0.23 IBM FileNet Content Engine 5.1.0 IBM FileNet Process Engine 5.0.0.3 IBM FileNet Application Engine 4.0.2.13 Microsoft SQL Server 2008 R2
可以通过登录 Passport Advantage 网站来下载以上 IBM 相关的组件,同时也可以参考以下的技术文档来了解这些组件的安装包代码:
http://www-01.ibm.com/support/docview.wss?uid=swg24029638
创建 AD 目录服务器
相对于创建 TDS 目录服务器来说,创建 AD 服务器是比较简单的,这里就简要的介绍一下。
首先登陆 Windows 2008 Server,选择 Start|Administrative Tools|Server Manager|Roles,点击添加角色来启动引导程序添加角色 Active Directory Domain Services。在启动引导程序的时候,需要事先完成以下操作:
1. 管理员用户有强壮的密码设置
2. 服务器拥有一个静态的 IP
3. Windows 服务器升级了最新的安全补丁
注:该角色会要求安装组件 .NET Framework 3.5.1 。
角色添加成功后,可以看到角色条目中多出了一项 Active Directory Domain Services,如图 1 所示。
图 1. 创建 Active Directory Domain Services
接下来,选择刚刚创建的角色 Active Directory Domain Services,在界面的右手边,启动该角色的安装引导程序。按着引导程序的提示完成域的创建,完成安装。最终该服务器变成预控服务器(Domain Controller)。需要提醒的一点是,AD 不能和 TDS 安装在同一个物理服务器上,其中的一个原因是这会产生端口冲突,因为它们都使用端口 389。