siteminder安装基于win2008ADLDS

SiteMinder12.51安装文档基于（windows2008R2x86_64ActiveDirectory轻型目录服务）环境安装安装顺序如下图：1、PolicyServer2、PolicyStore3、AdminUI4、ReportServer5、SiteMinderAgent============================================================一、安装PolicyServer1、先安装windows2008R2x64中文版操作系统设置主机名--关闭防火墙--设置IP地址--开启远程桌面--安装角色AD轻型目录服务更改主机名关闭防火墙设置远程连接设置IP地址禁用其他协议，仅使用IPv4，照上图画勾安装JDK32位安装ActiveDirectory轻型目录服务角色安装完结果，如上图2、配置AD轻型目录服务点击ActiveDirectory轻型目录服务安装向导点击下一步继续选择“一个唯一的实例”，点击下一步继续安装上图填写实例名与描述，点击下一步继续设置目录服务端口号，LDAP端口号默认为389，SSL端口号默认为636，如果此端口已占用，系统会给出其他端口号。请记住所设置的端口号，后面要用选择“是，创建一个应用程序目录分区”，在分区名中输入dc=micro，dc=com，点击下一步继续默认数据文件存放位置，点击下一步继续选择“此账户”，在用户名框中输入“administrator”，在密码框中输入“密码”，点击下一步继续注：密码是windows2008管理员administrator帐户对应的密码点击“是”，设置administrator拥有管理ADLDS服务的权限选择“当前登录的用户”选项后，点击下一步继续照上图，将以上所有项都勾选上，点击下一步继续点击下一步继续点击“完成”关闭窗口点击“控制面板”--》“程序和功能”选项，可查看到刚刚创建的实例“ADLDS实例micro”，如果想删除实例，直接点击卸载即可3、配置ADLDS实例micro打开ADSI编辑器，点击开始--》管理工具--》ADSI编辑器右键点击窗口左侧ADSI编辑器，弹出快捷菜单后，点击连接到...在连接设置窗口中，选择“选择一个已知命名上下文”，点击下拉框，选择“配置”在连接设置窗口中，选择“选择或键入域或服务器”选项，输入“localhost”，点击”确定“，打开ADSI编辑器窗口执行下面步骤：1.打开ADSI编辑器工具.2.找到下面位置如图：cn=directoryservice,cn=windowsnt,cn=services,cn=configuration,cn={guid}注：{guid}为一串随机生成的字符串，见下图3.找到msDS-Other-Settings属性.4.在msDS-Other-Settings属性中变更下面项目的值:ADAMAllowADAMSecurityPrincipalsInConfigPartition=15.在policystore应用分区的configuration内容中:找到“CN=Administrators,CN=Roles.”打开“CN=Administrators”的属性编辑“member”属性.点击“添加DN”和粘贴在配置分区中创建的管理用户的完整的DN信息。找到下面位置如图：cn=directoryservice,cn=windowsnt,cn=services,cn=configuration,cn={guid}找到msDS-Other-Settings属性在msDS-Other-Settings属性中变更下面项目的值:ADAMAllowADAMSecurityPrincipalsInConfigPartition=1修改完效果，见上图，点击确定创建admin用户，照上图，点击”CN=Roles“，在窗口右侧点击鼠标右键，在弹出菜单点击”新建“，再点击”对象“选择USER,点击下一步继续在”值“框中，输入用户名”admin“，点击下一步继续，此步骤是创建siteminder访问LDAP数据库的管理用户，用于写入和查询LDAP数据库，数据库需要包含PolicyStore和UserStore，后面有步骤说明如何创建PolicyStore和UserStore点击完成，创建完成admin用户，创建完毕，出现admin用户右键点击admin用户，点击”重置密码“设置admin用户的密码，点击确定打开您创建的用户admin的属性设置和验证下面对象的值:msDS-UserAccountDisabled，请确认值设置为false.将msDS-UserAccountDisabled设置为false，点击确定设置完毕，如上图找到distinguishedName后，点击查看，复制distinguishedName属性的值到缓存中，备用在policystore应用分区的configuration内容中:1.找到“CN=Administrators,CN=Roles.”2.打开“CN=Administrators”的属性3.编辑“member”属性.4.点击“添加DN”和粘贴在配置分区中创建的管理用户的完整的DN信息。点击“添加DN”将缓存中的内容粘贴到文本框中，点击确定。============================================================安装PolicyServer12.5准备PolicyServer安装文件进入c:\PS_PACK\PolicyServer12.51目录下：运行ca-ps-12.51-cr01-win32程序，开始安装点击Next继续将右侧滚动条下拉倒底部，灰色的接受协议会变为可选，选择“IacceptthetermsoftheLicenseAgreement”，点击Next继续选择JDK安装的位置，定位到“C:\ProgramFiles（x86）\Java\jdk1.8.0_25\jre\bin后,确定继续默认会安装在C:\ProgramFiles（x86）\CA目录下，点击Next继续选择”FIPSCompatibilityMode,点击Next继续输入PolicyStore加密密钥例如：9999999999什么都不选，保持原样，点击Next继续选择“BasicPasswordServices”,点击Next继续点击Install开始安装安装中，请等候点击Done，完成安装。系统会自动重新启动。============================================================配置PolicyServer步骤1.BesurethatyouhavemettheActiveDirectoryLDSprerequisite.你要确保满足ActiveDirectoryLDS的先决条件。获取主机域名或IP地址，见上图，注（主机名需要能在DNS里面解析，或在Host文件有记录才行），此文档中因使用同一台机器作为目录服务器和策略服务器，所以在此可使用“localhost”和本地IP地址“192.168.1.210”■Host信息：(完整域名或IP地址)192.168.1.210■Port信息：默认端口389(non-SSL)和636(SSL).389■AdministratorDN：DirectoryServerAdministrator完整域名包括GUID值CN=admin,CN=Roles,CN=Configuration,CN={DFE03AB2-58CA-4058-B7BE-661D9601818E}■Administrator密码：DirectoryServerAdministrator密码********（密码是文档上面自己设置的）■应用分区的RootDN：dc=micro，dc=com■(可选)SSL客户端认证：包含SSLclient认证数据库目录路径不需要获取端口号，见上图位置，这是前面文档中创建ActiveDirectory轻型目录服务实例时，设置的端口号的抓屏获取AdministratorDN值，见上图位置获取密码此密码是前面文档自己设置的，见上图位置获取应用目录分区，见上图位置，应用目录分区的值是前面文档中自己设置的3.PointthePolicyServertothedirectoryserver.关联目录服务器到策略服务器。4.Createthepolicystoreschema.创建策略存储架构。5.SettheCASiteMindersuperuserpassword.创建CASiteMinder超级用户密码。6.Importthepolicystoredatadefinitions.导入策略存储的数据定义。7.ImportthedefaultCASiteMinderobjects.导入缺省的CASiteMinder对象。8.RestartthePolicyServer.重新启动策略服务器。9.PreparefortheAdministrativeUIregistration.准备AdministrativeUI注册PointthePolicyServertothePolicyStore点击“开始--》所有程序--》CA--》SiteMinderPolicyServerMangementConsole”程序点击Data活动页面按照上图输入信息，点击“TestLDAPConnection”,测试LDAP连接是否成功。按照上图，说明测试连接成功注：记得用户名是一长串字符，需要在ADSI编辑器中，在刚创建的admin用户的属性中，将DN项复制出来，粘贴在AdminUsername中上图说明，用户名或密码不正确，可重新设置密码，检查长串DN是否出错。再试试直到通过连接测试。点击Apply在Database框中选择KeyStore，另外在Storage框中选择LDAP后，“UsePolicyStoredatabase”选项需要勾上。点击Apply后，再点击OKCreatethePolicyStoreSchema打开命令行窗口如上图：执行smldapsetupldgen-fmicro.ldif创建一个CASiteMinderschema文件，后缀为LDIF注意：-f和micro.ldif中间没有空格使用Notepad程序可查看micro.ldif文件内容再执行smldapsetupldmod-fmicro.ldif导入policystoreschema注意：-f和micro.ldif中间没有空格找到ADLDS.ldif文件，在C:\ProgramFiles(x86)\CA\siteminder\xps\db目录下，编辑此文件notepadADLDS.ldif编辑AD轻型目录服务架构配置文件ADLDS.ldif，见上图，将{guid}替换为我们创建的的PolicyStore的guid值替换完如上图，替换所有的{guid}为{DFE03AB2-58CA-4058-B7BE-661D96