|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 | |
第 1 章
了解产品Identity Synchronization for Windows 提供在 Sun Java™ System Directory Server 5 2004Q2 和以下目录环境之间的双向密码和用户属性同步:
Identity Synchronization for Windows 处理同步事件:
在安装(或移植至)Sun Java System Identity Synchronization for Windows 版本 1 2004Q3 之前,应先熟悉本章中介绍的概念。本章包含以下各节:
产品特性Identity Synchronization for Windows 具有以下特性和功能:
- 双向用户属性同步:使您能够在一种目录环境中创建、修改和删除选定属性,并自动把这些值传播至其它目录环境。
- 双向用户帐户创建同步:使您能够在一个目录环境中创建或删除用户帐户,并自动将新帐户传播至其它目录环境。
- 双向对象删除、激活和禁用:使您能控制在 Directory Server 和 Active Directory 目录源(对 Windows NT 不适用)之间的对象删除以及对象激活和禁用的流动。
- 与多个域同步:使您能与多个 Active Directory 和 Windows NT 域同步,并能与多个 Active Directory 森林结构同步。
- 集中的系统审计:使您能监控安装和配置状态、日常系统操作和与单一、集中位置的部署有关的任何错误状况。
不必修改 Windows 目录中的条目或更改使用相应目录的应用程序。
如果要使用 Identity Synchronization for Windows 以实现 Directory Server 和 Active Directory 之间的同步,则无需在 Windows 操作环境中安装任何组件。
如果要在 Directory Server 和 Windows NT 之间实现同步,则必须在 Windows NT 环境中安装本产品的 NT 组件。
系统组件Identity Synchronization for Windows 由一组核心组件和任意数量的单独连接器和连接器子组件构成,它们可在 Sun Java System Directory Server 和各 Windows 目录之间实现密码和用户属性更新的同步(参见图 1-1)。
图 1-1 系统组件
本节将对 Identity Synchronization for Windows 的每个组件进行定义和说明,按如下方式编排:
监视器进程
监视器是一个 Identity Synchronization for Windows java 进程,该进程负责启动、重启和停止单个后台 java 进程。监视器启动并监控中心记录器、系统管理器和连接器(但不监控子组件、Message Queue 或 Identity Synchronization for Windows 控制台)。
监视器安装在“核心”安装的位置,可作为 Solaris 守护进程或 Windows 服务启动。(有关启动和停止服务的信息,请参阅启动和停止服务。)
核心
安装 Identity Synchronization for Windows 时,先安装核心组件,然后根据环境对其进行配置。
“核心”由下列组件构成,这些组件中的任何一个都是独立的 java 进程。对每个组件的说明开始于如下参考页:
配置目录
Identity Synchronization for Windows 将其配置数据存储在 Directory Server 配置目录中(程序不安装配置目录)。
控制台、系统管理器、命令行实用程序和安装程序都会在配置目录中读出或写入产品的配置数据,包括:
控制台
Identity Synchronization for Windows 提供的控制台集中了所有的产品组件配置和管理任务。
控制台可用于:
命令行实用程序
Identity Synchronization for Windows 还提供了命令行实用程序,使您能直接从命令行执行如下任务:
- 根据配置和 SSL 设置显示证书信息
- 更改 Identity Synchronization for Windows 配置密码
- 导入已导出的 Identity Synchronization for Windows 版本 1.0 配置 XML 文档
- 准备供 Identity Synchronization for Windows 使用的 Sun Java System Directory Server 源
- 显示要完成安装/配置过程所必须执行的步骤,并查看已安装的连接器、系统管理器和 Message Queue 的状态
- 将配置目录中的连接器状态重设为尚未安装
- 同步和链接两个目录中的现有用户,并作为安装过程的一部分预先填充目录
- 启动同步
- 停止同步
有关产品的命令行实用程序及其用法的详细说明,请参阅附录 A,“使用 Identity Synchronization for Windows 命令行实用程序” 。
系统管理器
Identity Synchronization for Windows 系统管理器是一个独立的 java 进程,它能够:
中心记录器
连接器的安装可能会跨远程地理位置而广泛分布;因此,集中所有日志信息具有重大的管理价值,允许管理员从单一位置监控同步活动、检测错误以及评估整个系统的运行状况。
管理员可以使用中心记录器日志实现以下目的:
日志的类型有两种:
连接器
连接器是一个 java 进程,该进程使用单一数据源类型管理同步进程。连接器检测数据源中的用户更改,并通过 Message Queue 将这些更改发布到远程连接器。
Identity Synchronization for Windows 提供如下特定于目录的连接器,这些连接器负责在不同目录和域之间双向同步用户属性和密码更新:
- Directory Server Connector:支持 Directory Server 中的单个根后缀(例如后缀/数据库)
- Active Directory Connector:支持 Windows 2000 或 Windows 2003 Server Active Directory 环境中的单个实例。您可以为附加域使用多个连接器
- Windows NT Connector:支持 Windows NT 环境中的单个域
注意
监视器安装在任何安装了连接器的位置,并负责启动、重启和停止连接器。有关详细信息,请参阅监视器进程。
连接器子组件
子组件是一个独立于连接器运行的轻量进程或库。连接器使用子组件访问不能远程访问的本机资源,例如捕获 Directory Server 或 Windows NT 内部的密码。
以下连接器子组件随要同步的目录一同安装,并通过加密连接与相应的连接器进行通信。
Directory Server 插件
“Directory Server 插件”是 Directory Server Connector 的一个子组件。在每个要同步的 Directory Server 中安装 Directory Server 插件。
此插件
- 通过将加密的密码存储在 Retro Changelog 中,增强了 Directory Server Connector 的更改检测特性
- 对 Active Directory 和 Directory Server 之间的用户属性和密码同步提供双向支持(请参阅使用即时请求密码同步来获取明文密码)
Windows NT Connector 子组件
如果您的安装要求与 Windows NT SAM Registry 同步,则 Identity Synchronization for Windows 安装程序会在安装 Windows NT Connector 的同时将以下子组件安装到“主域控制器”(PDC) 中:
Message Queue
Identity Synchronization for Windows 使用 Message Queue(一个使用发布/订阅模式的持久消息队列机制)在目录源之间传播属性和密码更改,并将管理和配置信息分发到管理这些目录源同步的连接器。
Message Queue 是一个执行 Java Message Service (JMS) 开放标准的企业消息系统。JMS 规范描述了一组编程界面,这些编程界面为 java 应用程序在分布环境中创建、发送、接收和读取消息提供了通用方法。
Message Queue 由使用通用消息服务交换消息的消息发布者和订阅者组成。此消息服务由一个或多个专用消息代理程序组成,代理程序负责控制对消息队列的访问,维护有关活动发布者和订阅者的信息以及确保消息传送。
Message Queue 是最佳途径,因为它能够:
系统组件分布在制定有效部署方案之前,必须了解 Identity Synchronization for Windows 组件的组织方式和该产品的工作方式。本节内容安排如下:
了解本节和 Deployment Scenario 示例(详细信息...)中介绍的基本概念后,就应能够以此类推,为更复杂、更灵活的方案创建部署策略(如混合 Active Directory 和 Windows NT 环境或多服务器环境)。
核心
首先需要将所有“核心”组件一次性地安装到支持的任何操作系统的目录服务器中。“管理服务器”必须与“核心”位于相同的机器上。必须在安装“核心”之前安装 Message Queue 3.5 SP1 Enterprise Edition。
Directory Server Connector 和 Directory Server 插件
可以将 Directory Server Connector 安装到任何支持的操作系统中(列在操作系统要求中)。不必将 Directory Server Connector 安装在要同步的 Directory Server 所运行的机器上。但是,必须为每个已配置的 Directory Server 源安装一个 Directory Server Connector。
必须在要同步的 Directory Server 所在的每台主机上安装 Directory Server 插件。
注意
需要为每个 Directory Server 源安装单个 Directory Server Connector。但是,应当为每个要同步的主服务器、集线器和用户副本安装 Directory server 插件。
Active Directory Connector
可以在任何支持的操作系统上安装 Active Directory Connector(参见图 1-2)。在 Windows 环境中不必安装 Active Directory Connector;但是,每个 Active Directory 域必须安装一个 Active Directory Connector。
图 1-2 Directory Server 和 Active Directory 组件分布
Windows NT Connector 和子组件
要与 Windows NT SAM Registry 同步(参见图 1-3),必须在“主域控制器”(PDC) 中安装 Windows NT Connector。另外,安装程序会将 NT Domain 的 PDC 中连接器与两个 NT Connector 子组件(Change Detector 和 Password Filter DLL)一同安装。单个 NT Connector 只同步单个 NT 域的用户和密码。
图 1-3 Directory Server 和 NT 组件分布
Identity Synchronization for Windows 如何检测目录源中的更改本节介绍了 Sun Java System Directory Server (Directory Server)、Windows Active Directory 和 Windows NT Connector 如何检测用户条目和密码更改。
内容具体安排如下:
Directory Server Connector 如何检测更改
Directory Server Connector 通过 LDAP 检查 Directory Server Retro-Changelog,以检测用户条目和密码更改事件。Directory Server 插件帮助连接器:
- 通过对密码加密,然后使之可在 Retro Changelog 中使用,以捕获明文密码。如果没有插件,则 Retro Changelog 中仅出现散列密码,而散列的密码不能被同步。
- 若执行与 Active Directory 的即时请求密码同步,则无需在 Windows 环境中安装任何 Identity Synchronization for Windows 组件(请参阅使用即时请求密码同步来获取明文密码)。
图 1-4 Directory Server Connector 检测更改的方式
Active Directory Connector 检测更改的方式
Windows 2000/2003 Server Active Directory Connector 通过检查 Active Directory 的 USNChanged 和 PwdLastSet 属性值来检测用户条目和密码更改。
与 Directory Server 的 Retro Changelog 不同,当更改某个条目中的属性时,Active Directory 不报告哪些属性被更改。取而代之的是,Active Directory 通过累加 USNchanged 属性值来确定条目更改。为了检测各个属性的更改,Active Directory 和 Windows NT Connector 使用一个称为对象高速缓存的进程内数据库。对象高速缓存中存储每个 Active Directory 条目的一个散列副本,这使得连接器能准确判断条目中哪些属性被修改。
无需在 Windows 环境中安装 Active Directory Connector。它们可运行在其它环境(如 Solaris 计算机)并通过 LDAP 远程检测或进行更改。
图 1-5 Active Directory Connector 检测更改的方式
Windows NT Connector 检测更改的方式
Windows NT Connector 通过检查安全日志关于用户对象的审计事件来检测用户条目和密码更改。
要与 Windows NT SAM Registry 同步(参见图 1-3),必须在“主域控制器”(PDC) 中安装 Windows NT Connector。另外,安装程序会将 NT 域的 PDC 中的连接器与两个 NT Connector 子组件(Change Detector 和 Password Filter DLL)一同安装。单个 NT Connector 只同步单个 NT 域的用户和密码。
图 1-6 Windows NT Connector 检测更改的方式
注意
如果部署中有一台 Windows NT 计算机,则必须启用审计,否则 Identity Synchronization for Windows 不能记录来自该计算机的消息。要检验是否在 Windows NT 计算机上启用了审计日志,请参阅在 Windows NT 机器上启用审计。
关于 Change Detector 和 Password Filter DLL 子组件的说明,请查看Windows NT Connector 子组件。
传播密码更新
本节介绍了以下获得在 Windows 系统和 Directory Server 系统之间传播密码更改所需的明文密码的方法:
使用 Password Filter DLL 来获取明文密码
Windows NT Connector 必须获得明文密码才能将密码更新传播到 Sun Java System Directory Server。但是,当密码被存储到 Windows 目录中后,就无法从中提取明文密码,因为此时这些密码已经被加密。
Windows NT 提供了一个 Password Filter DLL 界面,允许组件在明文密码被永久存储到目录之前捕获它们。
使用即时请求密码同步来获取明文密码
尽管 Active Directory 与 Windows NT 支持相同的密码过滤器,但仍必须在每个域控制器上安装 Password Filter DLL,而不能只在主域控制器 (PDC) 上安装。由于这是一个明显的安装负担,Identity Synchronization for Windows 使用一种不同的方法来同步从 Active Directory 到 Directory Server 的密码更改,该方法称为即时请求密码同步。
当用户在 Windows 2000 上更改了密码后,如果试图登录 Directory Server,则即时请求密码同步为其提供了一种可在 Directory Server 上获取新密码值的方法。
即时请求密码同步还允许同步 Active Directory 上的密码,而无需 Password Filter DLL。
即时请求密码同步过程在下述情况下发生:
- 用户在 Windows 工作站上按下 Ctrl-Alt-Del,并更改密码。新密码存储到 Active Directory 中。
- Active Directory Connector 以预定间隔轮询系统。
当连接器检测到密码更改(基于对 USNchanged(更新序列号)和 PwdLastSet 属性的更改)时,连接器在 Message Queue 上发布关于密码更改的消息。消息在 SSL 加密的频道中传输。
图 1-7 即时请求密码同步 — 第一部分
- Directory Server Connector (通过 SSL)从 Message Queue 中接收密码更改消息。
- Directory Server Connector 将用户条目的 dspswvalidate 属性设置为 true,这将使旧密码失效并对 Directory Server 插件发出密码更改警告。
- 当用户试图登录 Directory Server 并使用 LDAP 应用程序(例如 Portal Server)来验证登录时,Sun Java System Directory Server 插件会检测出 Directory Server 条目中的密码值无效。
- Directory Server 插件在 Active Directory 中搜索相应用户。当插件找到该用户时,会尝试使用用户试图登录进入 Directory Server 时提供的密码来绑定到 Active Directory。
- 如果成功绑定到 Active Directory,用户提供新的 Active Directory 密码,Directory Server 插件设置密码并从 Directory Server 上的用户条目中清除无效密码标记。
图 1-8 即时请求密码同步 — 第二部分
可靠同步Identity Synchronization for Windows 采取多项预防措施来确保不丢失用户更改事件 — 即使组件暂时不可用。Identity Synchronization for Windows 的可靠性与 TCP 网络协议类似。TCP 可确保即便使用有损耗和时断时续连接的网路,最终也将正确传输所有数据。在网络临时中断期间发送的数据在网络断开时排队等待,一旦连接恢复将被再次传送。如果下列组件之一临时失效,则 Identity Synchronization for Windows 将最终检测和应用用户更改事件:
如果这些组件之一不可用,Identity Synchronization for Windows 将延迟同步,直到受影响的组件可用且未丢失任何更改(甚至密码)。该版本 Identity Synchronization for Windows 不支持 Sun Cluster 或其它正确、高可用性解决方案。由于 Identity Synchronization for Windows 是一个后台应用程序,用户不直接与其交互,因此通常不要求高可用性。如果曾遇到灾难性故障,可以重新安装 Identity Synchronization for Windows 组件并使用 idsync resync 命令重新同步所有目录源。
在多数情况下,当一个组件不可用时,程序将对同步事件进行排队,并仅当组件变为可用时应用这些事件。该过程有两个例外:
部署示例:两台机器配置本节介绍了一个部署方案,在该方案中,使用 Identity Synchronization for Windows 同步 Sun 和 Windows 目录之间的用户对象创建和双向密码修改操作。
该部署方案由两个系统组成:
图 1-9 说明了用于本部署方案的同步要求(节点结构和相关属性值)。
图 1-9 同步要求
本方案要达到两个目标:
物理部署
图 1-10 说明当 Active Directory 域驻留在未安装任何组件的单独 Active Directory 域控制器中时,如何在单个 Solaris 主机中对所有产品的组件进行物理部署。
图 1-10 Directory Server 和 Active Directory 方案
组件分布
主机 corp.example.com 是安装在 Solaris 操作系统中的 Directory Server。要同步的 Directory Server 的根后缀是 dc=corp,dc=example,dc=com。
此机器含有:
主机 sales.example.com 是要同步的 Active Directory 域。
