在升级到 VMware Identity Manager 3.2.0.1 后,您可能需要配置某些设置。

客户体验提升计划

该产品加入 VMware 客户体验提升计划(“CEIP”)。信任与保证中心 (https://www.vmware.com/cn/solutions/trustvmware/ceip.html) 详细阐述了通过 CEIP 收集的数据以及 VMware 将该数据用于何种用途。

在升级到 VMware Identity Manager 3.2.0.1 并登录到管理控制台后,将在横幅上显示加入 VMware 客户体验计划选项。如果您不希望参与 VMware 的 CEIP,请取消选中该复选框,然后单击确定



横幅上的 CEIP 选项


在单击确定或关闭横幅之前,将始终显示横幅。您可以随时从设备设置 > 遥测页中加入或退出 CEIP。

Elasticsearch 迁移

注:

该信息适用于从以前版本升级到 3.2.x 版。它不适用于从 3.2 升级到 3.2.0.1。

Elasticsearch 是一个搜索和分析引擎,它嵌入在 VMware Identity Manager 中,并用于审核、报告和搜索。VMware Identity Manager 3.2.x 包含 Elasticsearch 2.3.5,而以前的版本包含 Elasticsearch 1.75。在升级到 VMware Identity Manager 3.2.x 期间,将迁移 Elasticsearch 记录。

在 VMware Identity Manager 升级完成后,后台作业开始将 Elasticsearch 处理的现有审核和搜索记录迁移到新格式。此过程的启动可能会在升级完成后延迟长达一小时。此过程在启动后通常会快速完成,但也可能需要长达 1 到 2 个小时才能完成,具体取决于记录的数量。

您可以查看 analytics-service.log 文件(该文件位于 /opt/vmware/horizon/workspace/logs 目录中),以获取与迁移进度相关的消息。

  • 迁移开始时,将记录消息 The latest Audit schema version is 4.

  • 迁移每天的数据时,将记录开头为 Re-indexing documents from 的消息。

  • 迁移完成时,将记录消息 Audit schema check completed.

在迁移完成之前,没有旧记录可用或只有部分旧记录可用,因此仪表板和审核报告将不会显示旧记录,并且搜索和自动完成功能将无法使用。但是,将会生成新审核记录并对其进行处理,而这一过程与迁移无关,因此仪表板和审核报告应显示新登录等信息。如果在审核报告中未显示新审核记录,请检查 Elasticsearch 群集的运行状况。

要检查 Elasticsearch 群集的运行状况,请执行以下操作:

  1. 通过 ssh 登录到任意节点,然后运行以下命令:

    curl http://localhost:9200/_cluster/health?pretty

    如果 "status" 字段为 "yellow""green",请检查 analytics-service 日志中是否记录有错误。如果 "status" 字段为 "red",您必须重新启动主节点。

  2. 要重新启动主节点,请执行以下操作:

    1. 通过运行以下命令来确定主节点:

      curl http://localhost:9200/_cluster/state/master_node,nodes?pretty

    2. 查找 "master_node" 字段值,然后在节点列表中找到匹配的值以确定其 IP 地址。例如,在此示例输出中主节点是 "Gq-ITVBKRJKz1816XqrRKw",它具有 IP 地址 "1.1.1.2"

      {
         "cluster_name" : "horizon",
         "master_node" : "Gq-ITVBKRJKz1816XqrRKw",
         "nodes" : {
            "mzWHVMZuTXyFsO61NLpHnA" : {
               "name" : “Node1”,
               "transport_address" : “1.1.1.1:9300",
               "attributes" : { }
         },
         "Gq-ITVBKRJKz1816XqrRKw" : {
               "name" : “Node2”,
               "transport_address" : “1.1.1.2:9300",
               "attributes" : { }
         },
         "pkREX2D9R1a-lqf69PQMKQ" : {
               "name" : “Node3”,
               "transport_address" : “1.1.1.3:9300",
               "attributes" : { }
         }
      }
    3. 使用 ssh 连接到主节点,然后重新启动 Elasticsearch:

      service elasticsearch restart

    4. 在 Elasticsearch 重新启动后,再次检查群集运行状况:

      curl http://localhost:9200/_cluster/health?pretty

      该命令最初可能会显示 "yellow" 状态。再次运行该命令,直到它显示 “green” 状态。

Elasticsearch 映射冲突

如果在任何索引中具有映射冲突,VMware Identity Manager 3.2.x 中的 Elasticsearch 2.3.5 将无法启动。如果在升级之前未删除具有映射冲突的索引(执行检查 Elasticsearch 映射冲突中的过程),Elasticsearch 将无法启动。

Elasticsearch 日志文件 (/opt/vmware/elasticsearch/logs/horizon.log) 包含受影响的索引的消息,如下所示:

[2018-04-24 13:13:41,722][ERROR][bootstrap                ] Guice Exception: java.lang.IllegalStateException: unable to upgrade the mappings for the index [v3_2018-03-16], reason: [Mapper for [tenantId] conflicts with existing mapping in other types:

要解决该问题,请从所有 VMware Identity Manager 节点中手动删除这些索引。

  1. 在所有节点上,确保 Elasticsearch 已停止:

    service elasticsearch stop

  2. 在所有节点上,从磁盘中移除这些索引文件:

    rm -rf /db/elasticsearch/horizon/nodes/0/indices/<INDEX_NAME>

  3. 在所有节点上,重新启动 Elasticsearch:

    service elasticsearch start

在升级后,搜索无法正常工作

在升级后,如果审核报告和仪表板正常工作,但搜索无法正常工作,则搜索索引可能不正确。

在升级期间,所有用户、组和应用程序将重新编制为新的搜索索引。如果 Elasticsearch 存在任何问题(如映射冲突问题),索引重新编制可能无法正常工作。

要解决该问题,请手动强制重新编制索引,方法是使用零停机时间选项以及 HZN Cookie 值,或者使用停机时间选项并在数据库中直接修改该值。

要使用零停机时间选项手动强制重新编制索引,请执行以下操作:

  1. 以管理员用户身份登录到 VMware Identity Manager 服务,即,在首次安装 VMware Identity Manager 时在系统域中创建的默认管理员。

  2. 从浏览器的 Cookie 缓存中获取 HZN Cookie 值。

    例如,在 Firefox 上:

    1. 导航到选项 > 隐私与安全

    2. 历史记录下面,单击移除单个 Cookie 链接。

    3. 在 Cookie 对话框中,搜索 HZN

    4. 在搜索结果中选择 HZN Cookie,然后从内容字段中复制其值。

  3. 通过 ssh 连接到任何 VMware Identity Manager 节点,进行以下 REST 调用,并将 <cookie_value> 替换为从浏览器中获取的 HZN Cookie 值。

    /usr/local/horizon/bin/curl -k -XPUT -H "Authorization:HZN <cookie_value>" -H "Content-Type: application/vnd.vmware.horizon.manager.systemconfigparameter+json" https://localhost/SAAS/jersey/manager/api/system/config/SearchCalculatorMode -d '{ "name": "SearchCalculatorMode", "values": { "values": ["REINDEX"] } }'

要使用停机时间选项手动强制重新编制索引,请执行以下操作:

  1. 在所有节点上停止 VMware Identity Manager 服务:

    service horizon-workspace stop

  2. 在任何节点上运行以下命令:

    hznAdminTool reindexSearchData

  3. 在所有节点上重新启动 VMware Identity Manager 服务:

    service horizon-workspace start

要验证是否已开始重新编制索引,请在 /opt/vmware/horizon/workspace/logs/horizon.log 文件中查找消息,如下所示:

com.vmware.horizon.search.SearchCalculatorLogic - Keep existing index. Search calculator mode is: REINDEX

索引重新编制将在几分钟后完成。

log4j 配置文件

如果编辑了 VMware Identity Manager 实例中的任何 log4j 配置文件,在升级期间不会自动安装这些文件的新版本。但在升级后,这些文件控制的日志无法正常工作。

要解决该问题,请执行以下操作:

  1. 登录到虚拟设备。

  2. 搜索具有 .rpmnew 后缀的 log4j 文件。

    find / -name "**log4j.properties.rpmnew"

  3. 对于找到的每个文件,将新文件复制到没有 .rpmnew 后缀的相应旧 log4j 文件中。

辅助数据中心设备中的缓存服务设置

如果您设置一个辅助数据中心,则使用 /usr/local/horizon/conf/runtime-config.properties 文件中的 "read.only.service = true" 条目将辅助数据中心的 VMware Identity Manger 实例配置为只读访问。在升级此类设备后,该服务无法启动。

要解决该问题,请执行以下操作:

  1. 登录到虚拟设备。

  2. 将以下行添加到 /usr/local/horizon/conf/runtime-config.properties 文件中:

    cache.service.type = ehcache

  3. 重新启动服务。

    service horizon-workspace restart

基于角色的访问控制

在 VMware Identity Manager 3.2 中引入了基于角色的访问控制。有关已知问题,请参阅《VMware Identity Manager 3.2 发行说明》

Citrix 集成

要在 VMware Identity Manager 3.2 中集成 Citrix,所有外部连接器必须为 2018.1.1.0(3.2 版中的连接器版本)或更高版本。

您还必须升级到 Integration Broker 3.2 或更高版本。

以前版本中的更改

版本 3.1 中的更改

  • 从版本 3.1 开始,引入了一项新功能,该功能改变了用户组的同步方式。升级到 VMware Identity Manager 3.1 或更高版本后,对于升级前已经添加的所有用户组,需确保分配了授权。升级后添加的新用户组不会同步到 VMware Identity Manager 服务,直到授权该组使用资源、将该组添加到访问策略规则,或者(从版本 3.2 开始)从该组的 > 用户页中手动同步该组为止。

    如果您的授权设置为“所有用户”,在尚未同步的情况下,不会包含在升级后创建的新组中的用户。需为这些新组添加授权。

    请参阅《升级到 VMware Identity Manager 3.1 后的组同步工作方式》以了解详细信息。

  • 如果您将 Citrix 发布的资源与 VMware Identity Manager 3.1 相集成,则需升级到 Integration Broker 3.1。VMware Identity Manager 3.1 和 VMware Identity Manager Connector 2017.12.1.0(3.1 版本中的连接器版本)需要使用 Integration Broker 3.1。

版本 3.0 中的更改

  • 如果您将 Citrix 发布的资源与 VMware Identity Manager 相集成,则需升级到 Integration Broker 3.0。VMware Identity Manager 3.0 和 VMware Identity Manager Connector 2017.8.1.0(3.0 版本中的连接器版本)与较低版本的 Integration Broker 不兼容。

    表 1. 支持的版本

    VMware Identity Manager 或连接器版本

    支持的 Integration Broker 版本

    VMware Identity Manager 3.0

    3.0

    VMware Identity Manager Connector 2017.8.1.0(VMware Identity Manager 3.0 版本中的连接器版本)

    3.0

    VMware Identity Manager 2.9.1 或更低版本

    2.9.1 或更低版本

    VMware Identity Manager Connector 2.9.1 或更低版本

    2.9.1 或更低版本

  • 如果您在 VMware Identity Manager 中集成 Horizon 桌面和应用程序,并且部署了 VMware Identity Manager 群集,则必须再次配置 Horizon 集成。

    • 在保存并同步了 Horizon 资源的主连接器中,移除所有 Horizon 容器,再次添加它们,然后单击保存并同步

    • 在保存了 Horizon 资源配置的其他连接器中,移除所有 Horizon 容器,再次添加它们,然后单击保存

3.0 之前的版本中的更改

  • VMware Identity Manager 2.9.1 及更高版本中的批量同步更改

    在早期版本中,批量同步是通过数据库中名为 bulkSyncThreadLimitPerCPU=4 的全局配置参数,以每个 CPU 4 个线程的形式处理的。

    从版本 2.9.1 开始,批量同步处理的线程数不基于 CPU。它是一个绝对数字,默认情况下,它与节点上的 CPU 数相同。

    如果同步大量用户和组,并注意到在升级后同步速度缓慢,您可以设置名为 bulkSyncSharedThreadCount 的全局配置参数以指定线程数。

    可以使用以下 REST API 设置数据库中的线程值,然后重新启动节点以使更改生效。

    HTTP 请求:

    Operation: PUT
    URI: bulkSyncSharedThreadCount

    HTTP 标头:

    Content-Type: application/vnd.vmware.horizon.manager.systemconfigparameter+json
    Accept: application/vnd.vmware.horizon.manager.systemconfigparameter+json
    Authorization: HZN <operator token>

    请求正文(例如,具有 8 个线程):

    {
        "name": "bulkSyncSharedThreadCount",
        "values": {
            "values": [
                "8"
            ]
        }
    }

  • 启用新门户用户界面。

    1. 在管理控制台中,单击目录选项卡上的箭头,然后选择设置

    2. 选择左侧窗格中的新最终用户门户 UI,然后单击启用新门户 UI

  • 如果已设置包含两个节点的 VMware Identity Manager 群集以进行故障切换,建议将其更新为三个节点。这是因为 VMware Identity Manager 设备中嵌入的搜索和分析引擎 Elasticsearch 存在限制。您可以继续使用两个节点,但应注意与 Elasticsearch 相关的一些限制。有关详细信息,请参阅《安装和配置 VMware Identity Manager》中的“配置故障和冗余”。

  • 默认情况下,将在 VMware Identity Manager 中禁用传输层安全 (Transport Layer Security, TLS) 协议 1.0。支持 TLS 1.1 和 1.2。

    现在已知道禁用 TLS 1.0 后会发生外部产品问题。建议您更新其他产品配置,以使用 TLS 1.1 或 1.2。但是,如果这些产品依赖于 TLS 1.0,您可以按照知识库文章 2144805 中的说明,在 VMware Identity Manager 中启用 TLS 1.0。