![]() | |
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 |
附录 A
使用 Identity Synchronization for Windows 命令行实用程序Identity Synchronization for Windows 允许您使用命令行执行各种任务。本附录介绍如何执行 Identity Synchronization for Windows 命令行实用程序以完成各种任务。这些信息被编排在以下各节中:
一般特性Identity Synchronization for Windows 命令行实用程序具有以下特性:
公用参数
本节介绍多数命令行实用程序的公用参数(选项)。这些信息被编排在下表中:
- 表 A-1 所有子命令的公用参数:介绍以下参数,它们是所有 idsync 子命令(除 prepds 外)和移植工具的公用参数。
-D <bind-DN> -w <bind-password | -> [-h <Configuration Directory-hostname>]
[-p <Configuration Directory-port-no>] [-s <rootsuffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>]
- 表 A-2 所有子命令的公用 SSL-相关参数:介绍可选参数,这些参数提供有关使用“安全套接字层”(SSL) 安全访问“配置目录服务器”的信息。这些参数也是所有 idsync 子命令和移植工具的公用参数。
输入密码
需要密码参数时(如 -w <bind-password> 或 -q <configuration_password>),可使用“-”参数告知密码程序从 STDIN 读取密码。
如果对多个密码选项使用值“-”,idsync 会基于参数的顺序提示您输入密码。
此时,程序将首先需要输入 <bind-password>,然后输入<configuration-password>。
获取帮助
可使用以下命令之一在命令控制台中显示有关 idsync 或其任何子命令的用法信息:
用法信息
使用 idsync 命令您可使用 idsync 命令和子命令执行 Identity Synchronization for Windows 命令行实用程序。
注意
idsync 命令可在将参数发送至 Directory Server 之前,将所有 DN 值参数(如绑定 DN 或后缀名)从该窗口的指定字符集转换为 UTF-8。
在后缀名中不要使用反斜线作为换码符。
要在 Solaris 上指定 UTF-8 字符,终端窗口中必须有基于 UTF-8 的语言环境。确保环境变量的 LC_CTYPE 和 LANG 设置正确。
除非另行说明,否则可使用以下方法之一运行带有子命令的 idsync 命令:
表 A-4 列出了所有 idsync 实用程序子命令及其用途:
表 A-4 idsync 子命令快速参考
子命令
用途
certinfo
基于配置和 SSL 设置显示证书信息(请参阅使用 certinfo)
changepw
更改 Identity Synchronization for Windows 配置密码(请参阅使用 changepw)
importcnf
导入已导出的 Identity Synchronization for Windows 版本 1.0 配置 XML 文档(请参阅使用 importcnf)
prepds
准备供 Identity Synchronization for Windows 使用的 Sun Java System Directory Server 源(请参阅使用 prepds)
printstat
显示要完成安装/配置过程必须执行的步骤的列表。还提供已安装连接器、系统管理器和 Message Queue 的状态(请参阅使用 printstat)
resetconn
将配置目录中的连接器状态重设为尚未安装(请参阅使用 resetconn)
resync
作为安装过程的一部分,链接和重新同步现有用户并预先填充目录(请参阅使用 resync)
startsync
启动同步(请参阅使用 startsync)
stopsync
停止同步(请参阅使用 stopsync)
使用 certinfo
可使用 certinfo 子命令基于配置和 SSL 设置显示证书信息。此信息有助于确定必须为每个连接器和/或 Directory Server 插件证书数据库添加哪些证书。
要显示证书信息,请打开终端窗口(或“命令窗口”),然后键入 idsync certinfo 命令,如下所示:
例如:
idsync certinfo -w <admin-password> -q <configuration-password>
注意
有关 certinfo 参数的详细信息,请查看公用参数。
使用 changepw
您可使用 changepw 子命令更改 Identity Synchronization for Windows 配置密码。
更改 Identity Synchronization for Windows 的配置密码:
- 停止所有 Identity Synchronization for Windows 进程(例如,系统管理器、中心记录器、连接器、控制台、安装程序/卸载程序)。
- 停止所有进程后,通过将配置目录导出到 ldif 备份 ou=Services 树。
- 键入 idsync changepw 命令,如下所示:
idsync changepw [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
-b <new password | - > [-y]例如:
idsync changepw -w <admin password> -q <old config password> -b -q <new config password>
以下参数是 changepw 的独有参数:
注意
有关其它 changepw 参数的详细信息,请查看公用参数。
- 对终端窗口中显示的信息进行应答。例如,
Are you sure that want to change the configuration password (y/n)? yes
Before restarting the system - you must edit the $PSWHOME/resources/SystemManagerBootParams.cfg file and change the ’deploymentPassword’ to the new value.
SUCCESS- 重新启动系统前必须修改 SystemManagerBootParams.cfg 文件。
$PSWHOME\resources(其中 $PSWHOME 为 <isw-installation directory>)中的文件 SystemManagerBootParams.cfg 包含了系统管理器用于连接配置目录的配置密码。
例如,您可更改密码值,如下所示:
从:<Parameter name="manager.configReg.deploymentPassword" value="oldpassword"/>
更改为:<Parameter name="manager.configReg.deploymentPassword" value="newpassword"/>
- 如果程序报告任何错误,请使用 ldif 从步骤 2 恢复配置目录,然后再试。出现错误的最可能原因是密码更改期间托管配置目录的 Directory Server 变为不可用。
使用 importcnf
安装核心(第 3 章,“安装核心”)后,使用 idsync importcnf 子命令导入您导出的包含“核心”配置信息的 Identity Synchronization for Windows 版本 1.0 (SP1) 配置 XML 文件。
要导入版本 1.0 配置 XML 文档”,请打开终端窗口(或“命令窗口”),然后键入 idsync importcnf 命令,如下所示:
idsync importcnf [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -f <filename> [-n]
例如:
idsync importcnf -w <admin_password> -q <configuration_password> -f “MyConfig.cfg”
以下参数是 importcnf 的独有参数:
注意
有关其它 importcnf 参数的详细信息,请查看公用参数。
导入 1.0 版本的配置 XML 文档后,必须在为进行同步而配置的所有 Directory Server 源上运行 prepds(请参阅使用 prepds),然后便可安装 Identity Synchronization for Windows 连接器和子组件。
使用 prepds
可使用控制台或 prepds 子命令准备Sun Java System Directory Server 源,供 Identity Synchronization for Windows 使用。安装 Directory Server Connector 之前必须运行 prepds。
运行 idsync prepds 子命令可将相应的 ACI 应用到 cn=changelog 条目,它是 Retro-Changelog 数据库的根节点。
“目录管理员”用户是 Directory Server 上的特殊用户,他们对 Directory Server 实例具有全部权限。(ACI 不适用于“目录管理员”用户。)
例如,只有“目录管理员”才可设置 Retro-Changelog 数据库的访问控制,这是 Identity Synchronization for Windows 需要首选主服务器的“目录管理员”证书的原因之一。
注意
无论出于何种原因为首选 Sun 目录源重建 Retro-Changelog 数据库,默认的访问控制设置都将不允许 Directory Server Connector 读取数据库内容。
要为 Retro-Changelog 数据库恢复访问控制设置,需要运行 idsync prepds,或在控制台中选择合适的 Sun 目录源后单击“准备 Directory Server”按钮。
注意
运行 idsync prepds 之前,请务必计划 Identity Synchronization for Windows 配置,因为您必须清楚要使用哪些主机和后缀。
如果在已经安装、配置和同步了 Directory Server Connector 和插件的 Directory Server 后缀上运行 idsync prepds,将出现一条消息,要求您安装 Directory Server Connector。忽略此消息。
要准备 Sun Java System Directory Server 源,请打开终端窗口(或“命令窗口”),然后键入 idsync prepds 命令,如下所示:
idsync prepds [-D <bind-DN>] -w <bind-password | -> [-h <preferred host>]
[-p <preferred-port>] [-s <database-suffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>] [-j <secondary_host>] [-r <secondary-port>] [-E <admin DN of secondary host>] [-u <password for secondary host | ->] [-x]
例如:
idsync prepds -D “cn=Directory Manager” -w <preferred master password> -h <preferred-host> -p 389 -s dc=example,dc=com -j “secondary host” -r 389 -E “cn=Administrator” -u <secondary master password> -s dc=example,dc=com
表 A-7 描述了 idsync prepds 所独有的参数:
表 A-7 prepds 参数
参数
说明
-h <name>
指定作为首选主机的 Directory Server 实例的 DNS 名称。
-p <port>
指定作为首选主机的 Directory Server 实例的端口号。(默认值为 389。)
-j <name> (optional)
指定作为备用主机的 Directory Server 实例的 DNS 名(适用于 Sun Java System Directory Server 5 2004Q2 多主复制 (MMR) 环境)。
-r <port> (可选)
指定作为备用主机的 Directory Server 实例的端口(适用于 Sun Java System Directory Server 5 2004Q2 多主复制 (MMR) 环境)。(默认值为 389。)
-D <dn>
为首选主机的目录管理员用户指定识别名。
-w <password>
为首选主机的目录管理员用户指定密码。值 - 从标准输入 (STDIN) 中读取密码。
-E <admin-DN>
为备用主机的目录管理员用户指定识别名。
-u <password>
为备用主机的目录管理员用户指定密码。值 - 从标准输入 (STDIN) 中读取密码。
-s <rootsuffix>
指定根后缀,用于添加索引(同步用户的根后缀)。
注意:“首选”主机和“备用”主机的数据库名可能不同,但后缀则相同。因此,程序便可以找到每个主机的数据库名并用它添加索引。
-x
对于 dspswuserlink 属性,不向数据库中添加等同索引和当前索引。
如果要在复制环境(例如,具有首选主服务器、备用主服务器和两个用户的环境中)中运行 idsync prepds,则只需为首选主服务器和备用主服务器运行一次 idsync prepds。
要运行 idsync prepds
运行 idsync prepds 命令将实现:
使用 printstat
可使用 printstat 子命令实现:
要打印已安装连接器、系统管理器及 Message Queue 的状态,请打开终端窗口(或“命令窗口”),然后输入 idsync printstat 命令,如下所示:
idsync printstat [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync printstat -w <admin password> -q <configuration password>
注意
有关 printstat 参数的详细信息,请查看公用参数。
使用 resetconn
可使用 resetconn 子命令将配置目录中的连接器状态重设为尚未安装。例如,如果硬件故障使您无法卸载连接器,可使用 resetconn 将连接器的状态更改为“尚未安装”,这样便可重新安装该连接器。
要从命令行重设连接器的状态,请打开终端窗口(或“命令窗口”),然后键入 idsync resetconn 命令,如下所示:
idsync resetconn [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -e <directory-source-name> [-n]
例如:
idsync resetconn -w <admin password> -q <configuration_password> -e “dc=example,dc=com”
表 A-8 描述了 resetconn 所独有的参数:
注意
idsync printstat 可用于查找目录源名称。
有关其它 resetconn 参数的详细信息,请查看公用参数。
使用 resync
可使用 resync 子命令引导现有用户的部署。此命令使用管理员指定的匹配规则实现
- 链接现有条目
- 用远程目录的内容填充空白目录
- 在两个现有用户群体之间批量同步属性值
注意
有关链接和同步用户的更详细信息,请参阅同步现有用户。
要重新同步现有用户和预先填充目录,请打开终端窗口(或“命令窗口”),然后键入 idsync resync 命令,如下所示:
idsync resync [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-n] [-f <xml filename for linking>] [-k] [-a <ldap-filter>] [-l <sul-to-sync>] [-o Sun | Windows] [-c] [-x] [-u] [-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]
例如:
idsync resync -w <admin password> -q <configuration_password>
表 A-9 描述了 resync 所独有的参数:
表 A-9 idsync resync 用法
参数
含义
-f <filename>
使用 Identity Synchronization for Windows 提供的指定 XML 配置 文件之一在两个未链接用户条目间创建链接。(请参阅附录 B,“LinkUsers XML 文档范例”)
-k
只在未链接用户间创建链接(不创建用户或修改现有用户)
-a <ldap-filter>
指定 LDAP 过滤器来限制要同步的条目
此过滤器将被用作重新同步操作的源。
例如,如果指定 idsync resync -o Sun -a “uid=*”,则所有具有 uid 属性的 Directory Server 用户将被同步到 Active Directory。-l <sul-to-sync>
指定要重新同步的各个“同步用户列表”(SUL)。
注意:可指定多个 SUL ID 以重新同步多个 SUL,如果不指定任何 SUL ID,程序将重新同步您的所有 SUL。
-o (Sun | Windows)
指定重新同步操作的源
(默认为 Windows。)
-c
如果在目标处未找到相应用户,则自动创建用户条目
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)
为在 Sun 目录源中同步的用户条目重设密码,下次需要提供用户密码时对这些用户强制执行当前域内的密码同步。
-u
仅更新对象高速缓存。无条目被修改。
该参数仅为 Windows 目录源更新用户条目的本地高速缓存,这将防止在 Directory Server 中创建已经存在的 Windows 用户。如果使用此参数,则不会将 Windows 用户条目与 Directory Server 用户条目同步。仅当同步源为 Windows 时,此参数才有效。
-x
删除所有与源条目不匹配的目标用户条目。
-n
在安全模式下运行,这样您便可以预览某个操作的效果而不进行实际更改。
在运行 resync 之后,查看中心 audit.log 中的 resync.log 文件。如果出现错误,请参考第 9 章,“故障排除”。
使用 startsync
可使用 startsync 子命令从命令行启动同步。
要启动同步,请打开终端窗口(或“命令窗口”),然后键入 idsync startsync 命令,如下所示:
idsync startsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync startsync -w <admin password> -q <configuration_password>
表 A-10 描述了 startsync 所独有的参数:
注意
有关其它 startsync 参数的详细信息,请查看公用参数。
使用 stopsync
可使用 stopsync 子命令从命令行停止同步。
要停止同步,请打开终端窗口(或“命令窗口”),然后键入 idsync stopsync 命令,如下所示:
idsync stopsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync stopsync -w <admin password> -q <configuration_password>
注意
有关 stopsync 参数的详细信息,请查看公用参数。
使用 forcepwchg 移植实用程序在移植过程中更改了密码的用户将会在 Windows NT 和 Directory Server 中有不同的密码。可使用 forcepwchg 实用程序为那些在从 Identity Synchronization for Windows 版本 1.0 到版本 1 2004Q3 的移植过程中更改了密码的用户请求密码更改。
使用 forcepwchg 之前必须验证以下内容:
要执行 forcepwchg 命令行实用程序,
表 A-11 描述了 forcepwchg 所独有的参数:
表 A-11 forcepwchg 参数
选项
说明
-n
指定预览模式。
在预览模式中,实用程序将打印出所有常规用户的名称,但不打印以下用户:在预览模式中,任何用户都可以执行 forcepwchg。
在非预览模式中,只有管理员才能执行 forcepwchg。-a
要求所有用户(管理员和临时用户除外)更改其密码。
如果使用 -t 参数,则不能使用此参数。-t <time_specification>
强制在过去的<时间定义>中更改了密码的所有用户更改其密码。其中,<时间定义>可采用以下形式:
例如,如果指定 forcepwchg -t 6h,则会要求在最近六小时内更改了密码的所有用户再次更改其密码。
-?
打印出用法信息。
注意
有关使用 forcepwchg 的详细信息,请参阅在 Windows NT 上强制执行密码更改。