Vous trouverez dans ce guide les instructions d'installation et de configuration sous Windows.

• Terminologie
  • Acronymes
• Protocole d’installation
  • Listes des modules en dehors de DigDash
• Versions supportées
• Installations
  • Système de fichiers
    • digdash.properties
    • log4j2_api.properties
    • log4j2_dash.properties
    • log4j2_studio.properties
  • Déploiement des WebApps
  • Installation Microsoft JDK 11 (optionnel si déjà installé)
  • Installation de Tomcat 9
  • Installation d'OpenDJ (recommandé)
    • Paramétrage initial
    • Paramétrage supplémentaire
    • Fonction utile
      • Étendre la limite pour les recherches LDAP
  • Installation de OpenLDAP (Non recommandé)
    • Exécution de l’installer
    • Vérification du fonctionnement de l’OpenLDAP et création du domaine digdash et du compte admin
    • Fonction utile
      • Étendre la limite pour les recherches LDAP
  • Installation de MariaDB
    • Exécution de l’installer
    • Configuration des bases de données
    • Création des utilisateurs et assignation des droits
    • Mise à jour de MariaDB
• Configuration DigDash après installation
  • Lancement de Digdash
  • Branchement de Digdash au serveur OpenDJ (ou OpenLDAP) installé
  • Modification du mot de passe superviseur et création du compte LDAP
    • Modification du mot de passe superviseur
    • Création du compte LDAP
  • Configuration des bases de données
    • Base de données Données d'audit
    • Base de données Commentaires
    • Base de données Saisie de données
  • Services DigDash

Ce document décrit comment installer DigDash sur Windows.

Pour l'installation sur Linux, se reporter au document Guide d'Installation Linux.

Pour une mise à jour d'une installation existante, se reporter au document Guide de mise à jour.

Terminologie

Acronymes

Protocole d’installation

Listes des modules en dehors de DigDash

L’ensemble des serveurs doit avoir à minima les installations suivantes :

• Système de fichier
• Installation Microsoft JDK 11
• Tomcat 9
• WebApps DigDash

Liste des composants de production:

• Remplacer ADSWRAPPER par OpenDJ ( Pour les environnements de production)
• Remplacer H2 par  une Base de données:  PostGres ou MariaDB

Liste des composants optionnels:

• Reverse Proxy : Apache pour Windows

Versions supportées

Les versions supportées sont les suivantes :

• Tomcat 9 : dernier patch
• OpenDJ (recommandé) : version 4.6.2 et ultérieure
• OpenLDAP (non recommandé) : dernier patch 2.5.x au dernier patch 2.6.x par défaut du gestionnaire de package
• MariaDB : version de l'OS ou dernière version LTS dernier patch
• Apache2 : dernier patch

Installations

Système de fichiers

1. Créer un répertoire “logs” à la racine du répertoire souhaité (L):
   • logs :  héberge les fichiers de log des applications qui tourne sur le serveur en local
2. Créer un répertoire “digdash” à la racine du E.
3. Dans le répertoire digdash, créer 4 répertoires :
   • tools : héberge les outils livrés par DigDash qui peuvent interagir avec lui (import tool, backup tools)
   • webapps : les modules DigDash applicatifs: (studio, adminconsole, dashboard, ddenterpriseapi)
   • ldapdigdash : héberge la configuration et les données du LDAP
   • appdata : héberge les données DigDash
4. Dans chaque répertoire créé aux étapes précédentes, créer un répertoire default
5. Copier le fichier digdash.properties à la racine du répertoire digdash du E:

digdash.properties

• Ouvrir le fichier digdash.properties et rajouter les lignes suivantes :

Créer les fichiers de logs à la racine du répertoire digdash :E

log4j2_api.properties

Créer le fichier log4j2_api.properties à la racine du répertoire.

Copier le code suivant : 

log4j2_dash.properties

Créer le fichier log4j2_dash.properties à la racine du répertoire.

Copier le code suivant: 

log4j2_studio.properties

Créer le fichier log4j2_studio.properties à la racine du répertoire.

Copier le code suivant: 

Déploiement des WebApps

1. Aller dans <DD Install>\apache-tomcat\webapps et copier les webapps de DigDash et le répertoire ROOT dans E:/digdash/webapps/default.
2. Supprimer le war adswrapper.war

Installation Microsoft JDK 11 (optionnel si déjà installé)

1. Télécharger Microsoft JDK 11 : https://docs.microsoft.com/fr-fr/java/openjdk/download ou utiliser le binaire disponible dans le Zip d’installation partenaire_installation_initial.zip.
2. Lancer l’installation.

Installation de Tomcat 9

5. Laisser les paramètres de configuration par défaut.

6. Renseigner le chemin de l’installation de l’openjdk installé à l’étape 1.

7. Définir le répertoire d’installation de TomCat 9.

8. Lancer l’installation de TomCat 9.
9. Lancer la page http://localhost:8080 afin de vérifier le bon fonctionnement de TomCat.
10. Aller dans le répertoire d’installation de TomCat 9 puis dans le répertoire bin et lancer tomcat9w.exe.

11. Modifier les paramètres dans l’onglet Java.
    *

    • Adapter les chemins aux futurs répertoires digdash :
      Ddigdash.properties.path=E:\digdash\digdash.properties
       

    •  

    Pour que les caractères spéciaux soient bien pris en compte, ajouter le paramètre -Dfile.encoding=UTF-8 à la fin de la variable JAVA_OPTS comme ci-dessous :
    

server.xml

1. Ouvrir le fichier server.xml présent dans le répertoire \Apache Software Foundation\Tomcat 9.0\conf.

2. Remplacer le chemin des webapp à déployer.

3. Ajouter la valve de log et la valve sécurisation à la suite.

context.xml

1. Ouvrir le fichier context.xml présent dans le répertoire \Apache Software Foundation\Tomcat 9.0\conf.
2. Ajouter la balise XML suivante dans la section Context :

Paramétrage initial

1. Télécharger le fichier d'installation (opendj-4.x.x.msi) de OpenDJ à l’adresse suivante : https://github.com/OpenIdentityPlatform/OpenDJ/releases 
2. Lancer l’installation en double-cliquant sur le fichier opendj-4.x.x.msi.
3. Pour le répertoire d’installation, conserver l’emplacement par défaut (C:/Program Files (x86)/opendj).
4. Aller dans le repertoire d’installation C:\Program Files (x86)\OpenDJ et lancer le “setup.bat” en tant qu’administrateur.
5. Remplir les Paramètres serveur en veillant à enregistrer le mot de passe saisi.
   
    
6. Dans les Options de topologie, laisser la valeur par défaut Il s’agira d’un serveur autonome.
   
    
7. Remplir les Données de répertoire et cocher la case Créer uniquement une entrée de base (dc=digdash,dc=com).
   
    
8. Vérifier les valeurs saisies et cocher Exécuter le serveur en tant que service Windows.
   
    
9. Cliquez sur Terminer.
   

Quand l’installation est finie, vérifier si le service est lancé puis lancer un terminal en administrateur pour le paramétrage supplémentaire.

Paramétrage supplémentaire

1. Se placer dans le répertoire d’installation d’openDJ

   cd C:\Program Files (x86)\OpenDJ\bat

2. Les fichiers LDIF peuvent être téléchargés en cliquant sur le lien suivant LDIF_OpenDJ.zip.
3. Créer les organisations grâce au fichier “neworganisation.ldif” ci-dessous

   ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\neworganisation.ldif"

   dn: ou=default,dc=digdash,dc=com objectClass: organizationalUnit ou: default

4. Pour créer un vérificateur de mot de passe :
   • Utiliser la commande dsconfig.bat, puis se connecter avec les identifiants du Directory Manager et accepter les certificats.
   • Aller dans le menu 29 puis sélectionner “create a new Password Validator” > sélectionner “Character Set Password Validator” > saisir “Custom Character-set Password Validator” > “true” > “true” > puis configurer 4 character-set comme suit : 

     1:abcdefghijklmnopqrstuvwxyz 1:ABCDEFGHIJKLMNOPQRSTUVWXYZ 1:0123456789 1:!"#$%&'()*+,-./:;\<=>?@[]^_`{|}~

     ➡ Le résultat doit ressembler à cela :
     

   • Une fois la configuration terminée, faire “finish” puis quitter le “dsconfig”.

5. Pour le second vérificateur de mot de passe, nous pouvons utiliser une ligne de commande car celle-ci ne contient pas de caractères spéciaux : 

   dsconfig create-password-validator --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1  --validator-name "Custom length Password Validator" --set min-password-length:12 --set enabled:true --type length-based --no-prompt

6. Appliquer les deux vérificateurs de mot de passe : 

   dsconfig set-password-policy-prop --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 --policy-name "Default Password Policy" --set password-validator:"Custom Character-set Password Validator" --set password-validator:"Custom length Password Validator" --no-prompt

7. Définir la politique de mot de passe pour les utilisateurs grâce au fichier “ppolicy.ldif” ci-dessous

   ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\ppolicy.ldif"

   dn: cn=ppolicy,ou=default,dc=digdash,dc=com objectClass: top objectClass: subentry objectClass: pwdPolicy cn: ppolicy pwdAttribute: userPassword pwdAllowUserChange: TRUE pwdCheckQuality: 1 pwdExpireWarning: 600 pwdFailureCountInterval: 30 pwdGraceAuthNLimit: 5 pwdInHistory: 5 pwdLockout: TRUE pwdLockoutDuration: 900 pwdMaxAge: 0 pwdMaxFailure: 5 pwdMinAge: 0 pwdMustChange: FALSE pwdSafeModify: FALSE subtreeSpecification: {base "ou=users", specificationFilter "!(uid=admin)" }

8. Définir une seconde politique de mot de passe pour l’admin grâce au fichier “ppolicy-admin.ldif” ci-dessous

   ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\ppolicy-admin.ldif"

   dn: cn=ppolicy-admin,ou=default,dc=digdash,dc=com objectClass: top objectClass: subentry objectClass: pwdPolicy cn: ppolicy-admin pwdAttribute: userPassword pwdAllowUserChange: TRUE pwdCheckQuality: 1 pwdFailureCountInterval: 30 pwdGraceAuthNLimit: 5 pwdInHistory: 5 pwdLockout: FALSE pwdMaxAge: 0 pwdMinAge: 0 pwdMustChange: FALSE pwdSafeModify: FALSE subtreeSpecification: {base "ou=users", specificationFilter "(uid=admin)" }

9. Modifier la politique de mot de passe pour autoriser les mots de passe pré encodés (utile pour les restaurations dans digdash).

   dsconfig.bat set-password-policy-prop --policy-name "Default Password Policy" --set allow-pre-encoded-passwords:true --hostname localhost --trustAll --bindDN "cn=directory manager" --bindPassword adminOpenDJ1 --no-prompt

10. Créer un utilisateur admin pour digdash via le fichier “create_user_admin.ldif” ci-dessous :

    ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\create_user_admin.ldif"

    dn: uid=admin,ou=default,dc=digdash,dc=com objectClass: shadowAccount objectClass: inetOrgPerson cn: Admin Domain Default sn: Default uid: admin_default

11. Lui affecter les droits nécessaires en utilisant les fichiers “add_admin_right.ldif” et “add_admin_right2.ldif” ci-dessous

    ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\add_admin_right.ldif"

    dn: ou=default,dc=digdash,dc=com changetype: modify add: aci aci: (target ="ldap:///ou=default,dc=digdash,dc=com")(targetattr = "userpassword || shadowlastchange")(version 3.0; acl "allow write on userpassword and shadowlastchange for admin"; allow(write) (userdn = "ldap:///uid=admin,ou=default,dc=digdash,dc=com");) aci: (target ="ldap:///ou=default,dc=digdash,dc=com")(targetattr = "userpassword || shadowlastchange")(version 3.0; acl "allow read,write on userpassword and shadowlastchange for auth users"; allow(read) (userdn = "ldap:///all");) aci: (target ="ldap:///ou=default,dc=digdash,dc=com")(targetattr = "userpassword || shadowlastchange")(version 3.0; acl "allow read on userpassword and shadowlastchange for anonymous"; allow(selfwrite) (userdn = "ldap:///anyone");) aci: (target ="ldap:///ou=default,dc=digdash,dc=com")(targetattr = "*")(version 3.0; acl "allow write on * for admin"; allow(all) (userdn = "ldap:///uid=admin,ou=default,dc=digdash,dc=com");) aci: (target ="ldap:///ou=default,dc=digdash,dc=com")(targetattr = "*")(version 3.0; acl "allow read on * for anonymous"; allow(read) (userdn = "ldap:///all");)

    ldapmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 "C:\Users\digdash\Downloads\add_admin_right2.ldif"

    dn: uid=admin,ou=default,dc=digdash,dc=com changetype: modify add: ds-privilege-name ds-privilege-name: config-read ds-privilege-name: password-reset

12. Générer un mot de passe pour l’administrateur et le conserver en mémoire pour plus tard

    ldappasswordmodify.bat --port 389 --bindDN "cn=Directory Manager" --bindPassword adminOpenDJ1 --authzID "u:admin"

Fonction utile

L'opération ci-dessous ne fait pas partie de l'installation.
Il peut néanmoins être utile de la connaître pour une utilisation ultérieure.

Étendre la limite pour les recherches LDAP

Il est possible d'étendre la limite de recherche du LDAP à plus de 1000 utilisateurs avec le fichier “extend_search_limit.ldif” ci-dessous

Installation de OpenLDAP (Non recommandé)

Exécution de l’installer

Télécharger le fichier : https://www.maxcrc.de/en/download-en/

Documentation de référence : https://www.maxcrc.de/en/openldap-for-windows-installation-en/

1. Lancer le .exe.
   
2. Accepter la licence.
3. Sélectionner le répertoire de destination.
4. Laisser la personnalisation de la configuration sélectionnée par défaut.
   
    
5. Définir l’adresse du server name/IP Address en 127.0.0.1
   
   
   Définir un mot de passe fort pour le Password :  éviter les coats (“; “) dans le mot de passe
    
6. Choisir le format BDB.
   
    
7. Définir un mot de passe ROOT fort : éviter les coats (“; “) dans le mot de passe.
   
    
8. Lancer l’installation.
9. Vérifier si le service est bien lancé.
   
    
10. Arrêter le service OpenLDAP.
11. Accéder au dossier d’installation.
12. Ouvrir le fichier slapd.conf.
    
     
13. Récupérer le mot de passe ROOT.
    
14. Récupérer le dossier des fichiers OpenLDAP ici : Fichier zip.
    
    
15. Ouvrir le fichier slapd.
16. Remplacer le mot de passe ROOT par celui sauvegardé à l’étape précédente.
17. Copier le fichier slapd et le dossier ldifdata dans le répertoire d’installation de l’OPENLDAP.
18. Relancer le service LDAP.

Vérification du fonctionnement de l’OpenLDAP et création du domaine digdash et du compte admin

1. Ouvrir une console Windows en mode administrateur
2. Accéder au répertoire d'installation en ligne de commande ( cd MonRepertoireDinstallation)
3. Vérifier le lancement du OpenLDAP :

4. Créer l’organisation digdash

5. Définir la politique de password

6. Créer le user admin

7. Créer le mot de passe admin

8. Relancer OPENLDAP pour s’assurer du bon fonctionnement.

Fonction utile

L'opération ci-dessous ne fait pas partie de l'installation.
Il peut néanmoins être utile de la connaître pour une utilisation ultérieure.

Étendre la limite pour les recherches LDAP

1. Accéder au dossier d’installation.
2. Ouvrir le fichier slapd.conf.
   
3. Ajouter la ligne :

sizelimit 10000

Installation de MariaDB

 PostgreSQL et MySQL sont aussi compatibles.

Exécution de l’installer

1. Accéder au site https://mariadb.com/downloads/ et télécharger la dernière version du logiciel en choisissant comme OS : MS Windows (64-bit)
   
    
2. Exécuter le fichier .msi pour lancer l’installation et cliquer sur suivant
   
    
3. Choisir le mot de passe root de la base de données :
   
4. Cliquer sur suivant et installer MariaDB
   
5. Vérifier la sécurité du dossier C:/Program Files/MariaDB 10.10 pour ne donner que les droits :  Lecture et exécution; affichage du contenu du dossier; lecture aux utilisateurs.
   

Configuration des bases de données

1. Ouvrir l’invite de commande en tant qu’administrateur et lancer MariaDB

2. Créer les bases de données nécessaires domaine_module (exemple de domaine : default, dev, prod)

Création des utilisateurs et assignation des droits

1. Créer un utilisateur pour chaque base de données domaine_user_module

1. Attribuer les droits aux utilisateurs sur les bases de données

Mise à jour de MariaDB

Pour une mise à jour mineure (10.10.1 vers 10.10.2 par exemple), il faut :

1. S’assurer  via la release note de la nouvelle version, qu’il n’ y pas à se préoccuper des données
2. Télécharger la nouvelle version (exemple : 10.10.2) et l’exécuter, la mise à jour devrait se faire automatiquement 
3. Redémarrer le serveur MariaDB

Configuration DigDash après installation

Lancement de Digdash

1. Redémarrer le Service Tomcat.
2. Ouvrir le répertoire d'installation de Tomcat (\Apache Software Foundation\Tomcat 9.0\bin\Tomcat9w.exe), puis double cliquer sur le fichier Tomcat9w.exe, cliquer sur Stop et Start.
3. Vérifier le déploiement des war dans le dossier d’installation E:/digdash/webapps/default.
   

4. Accéder à DigDash sur l’adresse suivante : http://localhost:8080/adminconsole
   Le login/ mot de passe sera admin/ admin.
   

Branchement de Digdash au serveur OpenDJ (ou OpenLDAP) installé

1. Aller dans http://localhost:8080/adminconsole/, Configuration -> Paramètres serveur -> Serveurs -> LDAP.

• Port :  389
• Utilisateur : uid=admin, ou=default,dc=digdash,dc=com
• Mot de passe : mot de passe admin de OpenDJ (ou OpenLDAP)

2. Cliquer ensuite sur Requêtes LDAP, et renseigner les champs comme ci-dessous :

Modification du mot de passe superviseur et création du compte LDAP

Modification du mot de passe superviseur

Aller dans Configuration  -> Paramètres serveur > Serveurs -> Serveur Enterprise et entrer un nouveau mot de passe dans le champ Mot de passe du Superviseur.

Création du compte LDAP

1. Aller dans Configuration -> Gestion des utilisateurs -> Utilisateurs. 
2. Créer un nouvel utilisateur admin et lui attribuer tous les rôles et groupes d'autorisation.
3. Dans le champ Mot de passe, entrer le nouveau mot de passe du superviseur défini ci-dessus.

Configuration des bases de données

Base de données Données d'audit

Aller dans Configuration -> Paramètres serveur -> Base de données -> Données d'audit et renseigner ici l’URL, l’utilisateur et le mot de passe.

URL : jdbc:mariadb://localhost:3306/default_ddaudit

Cette solution permet de sécuriser l’accès à la base de données d'audit.

Base de données Commentaires

Aller dans Configuration -> Paramètres serveur -> Base de données -> Commentaires et renseigner ici l’URL, l’utilisateur et le mot de passe.

URL : jdbc:mariadb://localhost:3306/default_comment

Cette solution permet de sécuriser l’accès à la base de données de commentaires.

Base de données Saisie de données

Aller dans Configuration -> Paramètres serveur -> Base de données -> Saisie des données.

Cocher la case Activer la saisir de données et sélectionner une base de données dans la liste déroulante.

Il faut, au préalable, avoir créé une connexion à la base de données depuis le Gestionnaire des connexions aux de données dans le Studio. Consultez la page Gestionnaire des connexions aux bases de données pour plus de détails. 
Entrer default.user.ddentry pour l'utilisateur et le mot de passe défini à l'étape précédente. 
Le nom défini dans le champ Nom de connexion est celui qui apparaîtra dans la liste déroulante de sélection de la base de données.

Services DigDash

http://localhost:8080/ddenterpriseapi/serverstatus?adminDomain=adminconsole&serverDomain=ddenterpriseapi

Vérifier que les services DigDash sont activés et que la mémoire maximale est bien adaptée à la capacité du serveur, il faut laisser au moins 4 Go pour le système.