Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 

附录 A
使用 Identity Synchronization for Windows 命令行实用程序

Identity Synchronization for Windows 允许您使用命令行执行各种任务。本附录介绍如何执行 Identity Synchronization for Windows 命令行实用程序以完成各种任务。这些信息被编排在以下各节中:


一般特性

Identity Synchronization for Windows 命令行实用程序具有以下特性:

公用参数

本节介绍多数命令行实用程序的公用参数(选项)。这些信息被编排在下表中:

输入密码

需要密码参数时(如 -w <bind-password> -q <configuration_password>),可使用“-”参数告知密码程序从 STDIN 读取密码。

如果对多个密码选项使用值“-”,idsync 会基于参数的顺序提示您输入密码。

此时,程序将首先需要输入 <bind-password>,然后输入<configuration-password>

获取帮助

可使用以下命令之一在命令控制台中显示有关 idsync 或其任何子命令的用法信息:

用法信息


使用 idsync 命令

您可使用 idsync 命令和子命令执行 Identity Synchronization for Windows 命令行实用程序。


注意

idsync 命令可在将参数发送至 Directory Server 之前,将所有 DN 值参数(如绑定 DN 或后缀名)从该窗口的指定字符集转换为 UTF-8。

在后缀名中不要使用反斜线作为换码符

要在 Solaris 上指定 UTF-8 字符,终端窗口中必须有基于 UTF-8 的语言环境。确保环境变量的 LC_CTYPELANG 设置正确。


除非另行说明,否则可使用以下方法之一运行带有子命令的 idsync 命令:

表 A-4 列出了所有 idsync 实用程序子命令及其用途:

表 A-4 idsync 子命令快速参考

子命令

用途

certinfo

基于配置和 SSL 设置显示证书信息(请参阅使用 certinfo

changepw

更改 Identity Synchronization for Windows 配置密码(请参阅使用 changepw

importcnf

导入已导出的 Identity Synchronization for Windows 版本 1.0 配置 XML 文档(请参阅使用 importcnf

prepds

准备供 Identity Synchronization for Windows 使用的 Sun Java System Directory Server 源(请参阅使用 prepds

printstat

显示要完成安装/配置过程必须执行的步骤的列表。还提供已安装连接器、系统管理器和 Message Queue 的状态(请参阅使用 printstat

resetconn

将配置目录中的连接器状态重设为尚未安装(请参阅使用 resetconn

resync

作为安装过程的一部分,链接和重新同步现有用户并预先填充目录(请参阅使用 resync

startsync

启动同步(请参阅使用 startsync

stopsync

停止同步(请参阅使用 stopsync

使用 certinfo

可使用 certinfo 子命令基于配置和 SSL 设置显示证书信息。此信息有助于确定必须为每个连接器和/或 Directory Server 插件证书数据库添加哪些证书。

要显示证书信息,请打开终端窗口(或“命令窗口”),然后键入 idsync certinfo 命令,如下所示:

idsync certinfo [<bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]


注意

因为 certinfo 子命令不能访问连接器和 Directory Server 的证书数据库,所以它列出的所需步骤中,有一些可能已经执行。


例如:

idsync certinfo -w <admin-password> -q <configuration-password>


注意

有关 certinfo 参数的详细信息,请查看公用参数


使用 changepw

您可使用 changepw 子命令更改 Identity Synchronization for Windows 配置密码。

更改 Identity Synchronization for Windows 的配置密码:

  1. 停止所有 Identity Synchronization for Windows 进程(例如,系统管理器、中心记录器、连接器、控制台、安装程序/卸载程序)。
  2. 停止所有进程后,通过将配置目录导出到 ldif 备份 ou=Services 树。
  3. 键入 idsync changepw 命令,如下所示:
  4. idsync changepw [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
    -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
    -b <new password | - > [-y]

    例如:

    idsync changepw -w <admin password> -q <old config password> -b -q <new config password>

    以下参数是 changepw 的独有参数:

    表 A-5 idsync changepw 参数

    参数

    说明

    -b <password>

    指定新的配置密码。值 - 从标准输入 (STDIN) 读取密码。

    [-y]

    不提示命令确认。


    注意

    有关其它 changepw 参数的详细信息,请查看公用参数


  5. 对终端窗口中显示的信息进行应答。例如,
  6. Are you sure that want to change the configuration password (y/n)? yes

    Before restarting the system - you must edit the $PSWHOME/resources/SystemManagerBootParams.cfg file and change the ’deploymentPassword’ to the new value.

    SUCCESS

  7. 重新启动系统前必须修改 SystemManagerBootParams.cfg 文件。
  8. $PSWHOME\resources(其中 $PSWHOME 为 <isw-installation directory>中的文件 SystemManagerBootParams.cfg 包含了系统管理器用于连接配置目录的配置密码。

    例如,您可更改密码值,如下所示:

    <Parameter name="manager.configReg.deploymentPassword" value="oldpassword"/>

    更改为<Parameter name="manager.configReg.deploymentPassword" value="newpassword"/>

  9. 如果程序报告任何错误,请使用 ldif步骤 2 恢复配置目录,然后再试。出现错误的最可能原因是密码更改期间托管配置目录的 Directory Server 变为不可用。

使用 importcnf


警告

当从 Identity Synchronization for Windows 1.0 或 1.0 SP1 移植到版本 1 2004Q3 时才使用 idsync importcnf


安装核心(第 3 章,“安装核心”)后,使用 idsync importcnf 子命令导入您导出的包含“核心”配置信息的 Identity Synchronization for Windows 版本 1.0 (SP1) 配置 XML 文件。

要导入版本 1.0 配置 XML 文档”,请打开终端窗口(或“命令窗口”),然后键入 idsync importcnf 命令,如下所示:

idsync importcnf [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -f <filename> [-n]

例如:

idsync importcnf -w <admin_password> -q <configuration_password> -f “MyConfig.cfg”

以下参数是 importcnf 的独有参数:

表 A-6 idsync importcnf 参数

参数

说明

-f <filename>

指定配置 XML 文档的名称。

-n

在安全模式下运行,这样您便可以预览某个操作的效果而不进行实际更改。


注意

有关其它 importcnf 参数的详细信息,请查看公用参数


导入 1.0 版本的配置 XML 文档后,必须在为进行同步而配置的所有 Directory Server 源上运行 prepds(请参阅使用 prepds),然后便可安装 Identity Synchronization for Windows 连接器和子组件。

使用 prepds

可使用控制台或 prepds 子命令准备Sun Java System Directory Server 源,供 Identity Synchronization for Windows 使用。安装 Directory Server Connector 之前必须运行 prepds

运行 idsync prepds 子命令可将相应的 ACI 应用到 cn=changelog 条目,它是 Retro-Changelog 数据库的根节点。


注意

运行 idsync prepds 之前,请务必计划 Identity Synchronization for Windows 配置,因为您必须清楚要使用哪些主机和后缀。

如果在已经安装、配置和同步了 Directory Server Connector 和插件的 Directory Server 后缀上运行 idsync prepds,将出现一条消息,要求您安装 Directory Server Connector。忽略此消息。


要准备 Sun Java System Directory Server 源,请打开终端窗口(或“命令窗口”),然后键入 idsync prepds 命令,如下所示:

idsync prepds [-D <bind-DN>] -w <bind-password | -> [-h <preferred host>]
[-p <preferred-port>] [-s <database-suffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>] [-j <secondary_host>] [-r <secondary-port>] [-E <admin DN of secondary host>] [-u <password for secondary host | ->] [-x]

例如:

idsync prepds -D “cn=Directory Manager” -w <preferred master password> -h <preferred-host> -p 389 -s dc=example,dc=com -j “secondary host” -r 389 -E “cn=Administrator” -u <secondary master password> -s dc=example,dc=com


注意

-h-p-D-w-s 参数仅为 prepds 子命令重新定义(如下表所述)。此外,不使用 -q 参数。


表 A-7 描述了 idsync prepds 所独有的参数:

表 A-7 prepds 参数  

参数

说明

-h <name>

指定作为首选主机的 Directory Server 实例的 DNS 名称。

-p <port>

指定作为首选主机的 Directory Server 实例的端口号。(默认值为 389。

-j <name> (optional)

指定作为备用主机的 Directory Server 实例的 DNS 名(适用于 Sun Java System Directory Server 5 2004Q2 多主复制 (MMR) 环境)。

-r <port> 可选

指定作为备用主机的 Directory Server 实例的端口(适用于 Sun Java System Directory Server 5 2004Q2 多主复制 (MMR) 环境)。(默认值为 389。)

-D <dn>

为首选主机的目录管理员用户指定识别名。

-w <password>

为首选主机的目录管理员用户指定密码。值 - 从标准输入 (STDIN) 中读取密码。

-E <admin-DN>

为备用主机的目录管理员用户指定识别名。

-u <password>

为备用主机的目录管理员用户指定密码。值 - 从标准输入 (STDIN) 中读取密码。

-s <rootsuffix>

指定根后缀,用于添加索引(同步用户的根后缀)。

注意:“首选”主机和“备用”主机的数据库名可能不同,但后缀则相同。因此,程序便可以找到每个主机的数据库名并用它添加索引。

-x

对于 dspswuserlink 属性,不向数据库中添加等同索引和当前索引。

如果要在复制环境(例如,具有首选主服务器、备用主服务器和两个用户的环境中)中运行 idsync prepds,则只需为首选主服务器和备用主服务器运行一次 idsync prepds

要运行 idsync prepds

  1. 确保 Directory Server 复制环境正常并正在运行(如果适用。)
  2. 从控制台或命令行运行 idsync prepds,例如:
  3. idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389 . . .

运行 idsync prepds 命令将实现:

使用 printstat

可使用 printstat 子命令实现:

要打印已安装连接器、系统管理器及 Message Queue 的状态,请打开终端窗口(或“命令窗口”),然后输入 idsync printstat 命令,如下所示:

idsync printstat [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如:

idsync printstat -w <admin password> -q <configuration password>


注意

有关 printstat 参数的详细信息,请查看公用参数


使用 resetconn

可使用 resetconn 子命令将配置目录中的连接器状态重设为尚未安装。例如,如果硬件故障使您无法卸载连接器,可使用 resetconn 将连接器的状态更改为“尚未安装”,这样便可重新安装该连接器。


警告

仅在硬件或卸载程序出现故障的情况下才使用 resetconn 子命令。


要从命令行重设连接器的状态,请打开终端窗口(或“命令窗口”),然后键入 idsync resetconn 命令,如下所示:

idsync resetconn [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -e <directory-source-name> [-n]

例如:

idsync resetconn -w <admin password> -q <configuration_password> -e “dc=example,dc=com”

表 A-8 描述了 resetconn 所独有的参数:

表 A-8 idsync resetconn 参数

参数

说明

-e <dir-source>

指定要重设的目录源名称。

-n

在安全模式下运行,这样您便可以预览某个操作的效果而不进行实际更改。


注意

idsync printstat 可用于查找目录源名称。

有关其它 resetconn 参数的详细信息,请查看公用参数


使用 resync

可使用 resync 子命令引导现有用户的部署。此命令使用管理员指定的匹配规则实现

要重新同步现有用户和预先填充目录,请打开终端窗口(或“命令窗口”),然后键入 idsync resync 命令,如下所示:

idsync resync [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-n] [-f <xml filename for linking>] [-k] [-a <ldap-filter>] [-l <sul-to-sync>] [-o Sun | Windows] [-c] [-x] [-u] [-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]

例如:

idsync resync -w <admin password> -q <configuration_password>

表 A-9 描述了 resync 所独有的参数:

表 A-9 idsync resync 用法  

参数

含义

-f <filename>

使用 Identity Synchronization for Windows 提供的指定 XML 配置 文件之一在两个未链接用户条目间创建链接。(请参阅附录 B,“LinkUsers XML 文档范例”

-k

只在未链接用户间创建链接(不创建用户或修改现有用户)

-a <ldap-filter>

指定 LDAP 过滤器来限制要同步的条目
此过滤器将被用作重新同步操作的源。
例如,如果指定 idsync resync -o Sun -a “uid=*”,则所有具有 uid 属性的 Directory Server 用户将被同步到 Active Directory。

-l <sul-to-sync>

指定要重新同步的各个“同步用户列表”(SUL)。

注意:可指定多个 SUL ID 以重新同步多个 SUL,如果不指定任何 SUL ID,程序将重新同步您的所有 SUL。

-o (Sun | Windows)

指定重新同步操作的源

  • Sun:将 Windows 条目的属性值设置为 Sun Java System Directory Server 目录源条目中的相应属性值。
  • Windows:将 Sun Java System Directory Server 条目的属性值设置为 Windows 目录源条目中的相应属性值。

默认为 Windows。)

-c

如果在目标处未找到相应用户,则自动创建用户条目

  • 随机为在 Active Directory 或 Windows NT 中创建的用户生成密码
  • 为在 Directory Server 中创建的用户自动创建指定的密码值 ((PSWSYNC)*INVALID PASSWORD*)(除非指定了 -i 选项)

-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)

为在 Sun 目录源中同步的用户条目重设密码,下次需要提供用户密码时对这些用户强制执行当前域内的密码同步。

  • ALL_USERS:对所有已同步的用户强制执行即时请求密码同步
  • NEW_USERS:仅对新创建的用户强制执行即时请求密码同步
  • NEW_LINKED_USERS:对所有新创建和新链接的用户强制执行即时请求密码同步

-u

仅更新对象高速缓存。无条目被修改。

该参数仅为 Windows 目录源更新用户条目的本地高速缓存,这将防止在 Directory Server 中创建已经存在的 Windows 用户。如果使用此参数,则不会将 Windows 用户条目与 Directory Server 用户条目同步。仅当同步源为 Windows 时,此参数才有效。

-x

删除所有与源条目不匹配的目标用户条目。

-n

在安全模式下运行,这样您便可以预览某个操作的效果而不进行实际更改。


注意

  • 运行不带任何参数的 idsync resync 可查看用法说明。
  • 有关 resync 参数的详细信息,请查看公用参数
  • 有关重新同步现有用户的详细信息,请查看同步现有用户

在运行 resync 之后,查看中心 audit.log 中的 resync.log 文件。如果出现错误,请参考第 9 章,“故障排除”

使用 startsync

可使用 startsync 子命令从命令行启动同步。

要启动同步,请打开终端窗口(或“命令窗口”),然后键入 idsync startsync 命令,如下所示:

idsync startsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如:

idsync startsync -w <admin password> -q <configuration_password>

表 A-10 描述了 startsync 所独有的参数:

表 A-10 idsync startsync 参数

参数

说明

[-y]

不提示命令确认。


注意

有关其它 startsync 参数的详细信息,请查看公用参数


使用 stopsync

可使用 stopsync 子命令从命令行停止同步。

要停止同步,请打开终端窗口(或“命令窗口”),然后键入 idsync stopsync 命令,如下所示:

idsync stopsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如:

idsync stopsync -w <admin password> -q <configuration_password>


注意

有关 stopsync 参数的详细信息,请查看公用参数



使用 forcepwchg 移植实用程序

在移植过程中更改了密码的用户将会在 Windows NT 和 Directory Server 中有不同的密码。可使用 forcepwchg 实用程序为那些在从 Identity Synchronization for Windows 版本 1.0 到版本 1 2004Q3 的移植过程中更改了密码的用户请求密码更改。


注意

forcepwchg 实用程序仅与 Windows 软件包一并提供。


使用 forcepwchg 之前必须验证以下内容:

要执行 forcepwchg 命令行实用程序,

  1. 打开“命令提示”窗口,并使用 cd 进入要在其中执行移植的主机的 Windows migration 目录。(必须在 PDC 主机上安装 Identity Synchronization for Windows 1.0 NT 组件(连接器、更改检测器 DLL、密码过滤器 DLL)。)
  2. migration 目录中,键入
  3. java -jar forcepwchg.jar [-n] [-a] [-t <time_specification>]

表 A-11 描述了 forcepwchg 所独有的参数:

表 A-11 forcepwchg 参数  

选项

说明

-n

指定预览模式
在预览模式中,实用程序将打印出所有常规用户的名称,但不打印以下用户:

  • 如果指定 -a 参数,则不打印内置帐户(管理员和临时用户)。
  • 在使用 -t 参数指定的时间内更改了密码的用户。

在预览模式中,任何用户都可以执行 forcepwchg
在非预览模式中,只有管理员才能执行 forcepwchg

-a

要求所有用户(管理员和临时用户除外)更改其密码。
如果使用 -t 参数,则不能使用此参数。

-t <time_specification>

强制在过去的<时间定义>中更改了密码的所有用户更改其密码。其中,<时间定义>可采用以下形式:

  • <数值>:秒数(例如,-t 30
  • <数值>m:分钟数(例如,-t 25m
  • <数值>h:小时数(例如,-t 6h

例如,如果指定 forcepwchg -t 6h,则会要求在最近六小时内更改了密码的所有用户再次更改其密码。

-?

打印出用法信息。


注意

有关使用 forcepwchg 的详细信息,请参阅在 Windows NT 上强制执行密码更改




上一页      目录      索引      下一页     


文件号码:817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。