上一页      目录      索引      下一页
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南

附录 D
定义和配置同步用户列表

本附录提供有关“同步用户列表”(SUL) 各个定义的补充信息，并说明如何配置多个域。内容具体安排如下：

了解同步用户列表定义
配置多个 Windows 域

---

了解同步用户列表定义

每个“同步用户列表”(SUL) 都包含两个定义 — 一个用于确定要同步的 Directory Server 用户，另一个用于确定要同步的 Windows 用户。

每个定义确定要同步目录中的哪些用户、哪些用户不在同步范围内以及在何处创建新用户。

注意	使用“Identity Synchronization for Windows 控制台”选择的对象类还确定将同步哪些用户。程序只同步具有选定对象类的那些用户，包括具有选定对象类的子类的任何用户。 例如，如果选择 organizationalPerson 对象类，则 Identity Synchronization for Windows 将同步具有 inetorgperson 对象类的用户，因为它是 organizationalPerson 对象类的子类。

表 D-1 说明了 SUL 定义的要素：

表 D-1 SUL 定义要素

要素	定义	适用范围
		Sun	AD	NT
基本 DN	定义要同步的所有用户的父 LDAP 节点。 “同步用户列表”基本 DN 包括该 DN 中的所有用户 — 除非用户被“同步用户列表”过滤器排除在外，或者该用户的 DN 符合更具体的“同步用户列表”。 例如，ou=sales,dc=example,dc=com。	是	是	否
过滤器	定义一个类似于 LDAP 的过滤器，用于将用户包括在“同步用户列表”之内或排除在外。该过滤器可包括 &、|、!、= 和 * 运算符。不支持 >= 和 <= 运算符。所有比较都不区分大小写。 例如，(& (employeeType=manager)(st=CA)) 将仅包括加利福尼亚的经理。	是	是	是
创建表达式	定义新创建用户的父 DN 和命名属性（仅当启用创建时才适用）。 创建表达式必须含有“同步用户列表”的基本 DN。例如，cn=%cn%,ou=sales,dc=example,dc=com。（其中的 %cn% 标记用创建的用户条目的值代替。）	是	是	否

注意	如果要同步 Sun Java System Directory Server 中有多个 Active Directory 域的用户，必须为每个 Active Directory 域定义至少一个 SUL。

如果定义了多个 SUL，Identity Synchronization for Windows 会通过反复匹配每个 SUL 定义来确定 SUL 中的成员关系。程序首先检查基本 DN 较具体的 SUL 定义。
例如，程序首先测试是否与 ou=sales,dc=example,dc=com 匹配，然后再测试是否与 dc=example,dc=com 匹配。

如果两个 SUL 定义有相同的基本 DN 而过滤器不同，则 Identity Synchronization for Windows 就无法自动确定应先测试哪个过滤器。此时，必须用“解决域交叉”功能为两个 SUL 定义排序。如果用户符合某个 SUL 定义的基本 DN，但不符合该基本 DN 的任何过滤器，程序会将该用户排除在同步之外 — 即使该用户与具体程度稍差一些的基本 DN 的过滤器相符。

---

配置多个 Windows 域

为支持将多个 Windows 域同步到同一个 Directory Server 容器（例如 ou=people,dc=example,dc=com），Identity Synchronization for Windows 使用含有域信息的“综合”Windows 属性。

对于 Active Directory 域，Identity Synchronization for Windows 会先将 activedirectorydomainname 属性设置为 Active Directory 域名（如 east.example.com），然后再将该条目同步到 Directory Server。
对于 Windows NT 域，Identity Synchronization for Windows 会先将 user_nt_domain_name 属性设置为 Windows NT 域名（如 NTEXAMPLE），然后再将该条目同步到 Directory Server。

虽然这些属性不实际出现在 Windows 用户条目中，却可在“Identity Synchronization for Windows 控制台”中同步，并可映射到 Directory Server 用户属性。Identity Synchronization for Windows 映射域属性后，它们将在同步期间被置入 Directory Server 条目，并可在“同步用户列表”(SUL) 过滤器中使用。

下例说明了 Identity Synchronization for Windows 如何使用这些属性。此例假设三个 Windows 域（两个 Active Directory 域和一个 Windows NT 域）与一个 Directory Server 实例同步。

Active Directory 的 east.example.com 域中的用户将以 ou=people,dc=example,dc=com 同步到 Directory Server 中。
Active Directory 的 west.example.com 域中的用户将以 ou=people,dc=example,dc=com 同步到 Directory Server 中。
Windows NT 的 NTEXAMPLE 域中的用户将以 ou=people,dc=example,dc=com 同步到 Directory Server 中。

创建或修改 Directory Server 用户时，程序用 SUL 过滤器确定要在哪个 Windows 域中同步用户（因为每个 Directory Server SUL 都有相同的基本 DN，ou=people,dc=example,dc=com）。使用 activedirectorydomainname 和 user_nt_domain_name 属性可以很方便地构建这些过滤器。

要从“控制台”的“属性”选项卡构建过滤器：

将 Directory Server destinationindicator 属性映射到 Active Directory activedirectorydomainname 属性和 Windows NT user_nt_domain_name 属性。
按以下方式为每个 Windows 域配置一个 SUL：

EAST_SUL Sun Java System Directory Server definition Base DN: ou=people,dc=example,dc=com Filter: destinationindicator=east.example.com Creation Expression: cn=%cn%,ou=people,dc=example,dc=com Active Directory definition (east.example.com) Base DN: cn=users,dc=east,dc=example,dc=com Filter:<none> Creation Expression: cn=%cn%,cn=users,dc=east,dc=example,dc=com WEST_SUL Sun Java System Directory Server definition Base DN: ou=people,dc=example,dc=com Filter: destinationindicator=west.example.com Creation Expression: cn=%cn%,ou=people,dc=example,dc=com Active Directory definition (west.example.com) Base DN: cn=users,dc=west,dc=example,dc=com Filter:<none> Creation Expression: cn=%cn%,cn=users,dc=west,dc=example,dc=com NT_SUL Sun Java System Directory Server definition Base DN: ou=people,dc=example,dc=com Filter: destinationindicator=NTEXAMPLE Creation Expression: cn=%cn%,ou=people,dc=example,dc=com Windows NT definition (NTEXAMPLE) Base DN: NA Filter:<none> Creation Expression: NA

注意：每个 Directory Server SUL 定义都有相同的基本 DN 和创建表达式，但过滤器指示相应 Windows 用户条目的域。

为进一步说明这些设置如何允许 Directory Server 用户条目与单独的 Windows 域同步，请参考以下测试条件：

在 Active Directory 的 east.example.com 域中创建 cn=Jane Test,cn=users,dc=east,dc=example,dc=com。
Identity Synchronization for Windows 在 Directory Server 中创建用户条目
cn=Jane Test,ou=people,dc=example,dc=com，该 Directory Server 含有 destinationindicator=east.example.com 条目。
修改 Directory Server 中的 cn=Jane Test,ou=people,dc=example,dc=com 条目。
因为 Jane Test 的 destinationindicator 属性为 east.example.com，其条目符合 EAST_SUL“同步用户列表”过滤器，修改内容将同步到 east.example.com Active Directory 域。

本例假设 Identity Synchronization for Windows 将用户创建从 Windows 同步到 Directory Server。如果情况与此不同，可以运行 idsync resync 命令设置 destinationindicator 属性。

注意	在具有多个 SUL 的部署中使用 idsync resync -f 时，可能必须在链接配置文件中将 allowLinkingOutOfScope 选项设置为 true。有关详细信息，请参阅附录 B，“LinkUsers XML 文档范例”。

示例中使用了 inetorgperson, destinationIndicator 的已有属性，此属性还可能另有所用。如果此属性已在使用或者您选择了不同的对象类，则必须将用户的 Directory Server 条目中的某些属性映射到 user_nt_domain_name 和/或 activedirectorydomainname 属性。选择用于保存此值的 Directory Server 属性必须在其余属性映射配置使用的对象类中。

如果没有未使用的属性来保存此域信息，则必须创建一个新的对象类，将新的域属性和 Identity Synchronization for Windows 要使用的所有其它属性包括在内。

上一页      目录      索引      下一页

---

文件号码：817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。