![]() | |
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 |
第 2 章
准备安装在安装 Identity Synchronization for Windows 1 2004Q3 或从版本 1.0 移植至版本 1 2004Q3 之前,应先熟悉安装及配置过程。
本章介绍了这些过程,并提供有助于准备本产品安装的其它信息。这些信息被编排在以下各节中:
安装要求本节说明 Identity Synchronization for Windows 的安装要求,包括操作系统版本、修补程序和每个平台的实用程序。
操作系统要求
以下各表描述了本版本 Identity Synchronization for Windows 的操作系统要求:
硬件要求
要运行 Identity Synchronization for Windows,您的硬件(所有平台)必须满足以下最低要求:
Sun Java System 软件要求
在安装 Identity Synchronization for Windows 之前,必须先安装以下 Sun Java System 软件组件:
该修补程序为安装在 Directory Server 5 2004Q2 中的 Identity Synchronization for Windows 1 2004Q2 启用了删除功能。
有关这些修补程序的更多详细信息及如何将其应用于 Directory Server 环境的信息,请参阅 README.patch 文件,该文件位于 Identity Synchronization for Windows 下载包的以下目录中:
<download_root>/patches/directory/README.patch
有关在 Solaris 上安装 Directory Server 5 2004Q2 所需的修补程序的最新信息,请参阅《Sun Java System Directory Server 5 2004Q2 Installation and Tuning Guide》和《Sun Java System Directory Server 5 2004Q2 发行说明》。它们可以在下面的网站中找到:
安装证书
要安装 Identity Synchronization for Windows,必须为以下目标提供证书:
- 配置目录
- 要同步的 Directory Server
- Active Directory(有关详细信息,请参阅安装核心。)
此外,必须具有以下权限才能安装 Identity Synchronization for Windows:
安装概述图 2-1 说明在单主机部署中安装本产品的过程。
图 2-1 在单主机部署中安装
某些组件必须按照特别的顺序进行安装,因此请务必仔细阅读全部安装说明。
Identity Synchronization for Windows 提供“待执行”列表,它在整个安装和配置过程中显示。此信息面板列出要成功安装和配置本产品所必须遵循的所有步骤。
图 2-2 Identity Synchronization for Windows 待执行列表
当您逐步执行安装和配置过程时,程序会将列表中所有已完成的步骤变灰(如图 2-2 所示)。
本节的其余部分提供安装和配置过程的概述,并编排为如下内容:
安装核心
安装“核心”时,将安装以下组件:
- 控制台:提供一个集中位置,以执行产品组件的所有配置和管理任务
- 中心记录器:将所有审计和错误日志信息集中到一个中心位置
- 系统管理器:动态地向连接器提供配置更新,并保持每个连接器的状态
注意
有关安装“核心”的说明,请参阅第 3 章,“安装核心”。
配置产品
安装“核心”之后,便可使用“控制台”从一个集中位置对全部要同步的目录源(及其它部署特性)进行初始配置。
注意
有关配置目录源的说明,请参阅第 4 章,“配置核心资源”。
准备 Directory Server
Directory Server Connector 支持 Sun Java System Directory Server 5 2004Q2。
在能够安装 Directory Server Connector 之前,必须为每个已配置并要同步的 Directory Server 主服务器(包括首选主服务器和备用主服务器)准备一个 Sun Java System Directory Server 源。
可以从“控制台”或从命令行使用 idsync prepds 子命令执行此任务。
注意
有关准备 Directory Server 的说明,请参阅准备 Directory Server。
安装连接器和 Directory Server 插件
可以安装任意数量的连接器和 Directory Server 插件,具体数量视系统包含的已配置目录数而定。
注意
“控制台”和安装程序都使用要同步目录的标签将连接器与该目录相关联。表 2-3 描述 Identity Synchronization for Windows 的标签命名约定。
注意
有关安装和配置“连接器”和 Directory Server 插件的说明,请参阅第 5 章,“安装连接器和 Directory Server 插件”。
同步现有用户
安装连接器、插件和子组件后,必须运行 idsync resync 命令行实用程序以引导包含现有用户的部署。此命令使用管理员指定的匹配规则实现:
- 链接现有条目(有关链接的定义,请参阅链接用户。)
- 用远程目录的内容填充空目录
- 在两个现有用户群体之间批量同步属性值(包括密码),在这两个用户群体中,会唯一确定 Windows 和 Directory Server 目录中的条目,并彼此链接。
注意
有关在部署中同步现有用户的说明,请参阅第 6 章,“同步现有用户”。
配置概述安装本产品之后,必须配置产品部署,其中包括:
本节概括说明了以下配置元素概念:
目录
目录代表:
可为每类目录配置任意数量的目录。
配置目录和全局目录
Identity Synchronization for Windows 将 Sun Java System Directory Server 配置目录和 Active Directory 全局目录用作信息库,在其中获取 Directory Server 或 Active Directory 目录拓扑以及这些目录的模式信息。
同步设置
同步设置用于控制在 Sun 和 Windows 目录之间传播对象创建、对象删除、密码及其它属性修改的方向。同步流动选项列出如下:
对象类
配置资源时,您将根据条目的对象类来指定要同步的条目。对象类可确定哪些属性可用于 Directory Server 和 Active Directory 同步。
Identity Synchronization for Windows 支持两种类型的对象类:
- 结构对象类:从选定 Directory Server 创建或同步的每个条目必须至少含有一个结构对象类。从下拉列表中选择结构对象类。(在 Directory Server 上默认为 inetorgperson,而在 Active Directory 上默认为 User)
- 辅助对象类:
- Directory Server 允许从“可用辅助对象类”列表窗格中选择一个或多个对象类,以扩充选定的结构类,从而提供更多同步属性。
- Active Directory 对辅助对象类更具限制性。选定结构对象类中所有有效辅助对象类的属性均可进行同步。
注意
关于配置对象类和属性的详细信息,请参阅第 4 章,“配置核心资源”。
属性和属性映射
属性保留与用户条目有关的说明性信息。每个属性都有一个标签、一个或多个值,并且遵循可作为属性值存储的信息类型的标准语法。
注意
可从“控制台”定义属性。在第 4 章中提供了有关定义属性的操作说明。
属性类型
Identity Synchronization for Windows 以下述方式同步重要属性和创建用户属性:
强制创建属性是被视为“强制”创建的属性,用以在目标目录中成功完成创建操作。例如,Active Directory 期望在创建时,cn 和 samaccountname 都具有有效的值。在 Sun 端,如果配置 user 对象类的 inetorgperson,则 Identity Synchronization for Windows 会将 cn 和 sn 视为强制创建属性。
仅当自原始目录传播的属性中不含值时,才会使用创建属性的默认值更新目标目录的创建属性。(创建属性的默认值可以视其它属性值而定。请参阅参数化属性默认值。)
参数化属性默认值
Identity Synchronization for Windows 允许使用其它创建属性或重要属性为创建属性创建参数化默认值。
要创建参数化默认属性值,请在表达式字符串中插入现有创建属性或重要属性的名称(前后加上百分号 (%<attribute_name>%))。例如,homedir=/home/%uid% 或 cn=%givenName%.%sn%。
创建这些属性默认值时:
映射属性
定义要同步的属性后,必须在 Sun 和 Windows 系统间映射属性名称。例如,必须将 Sun inetorgperson 属性映射到 Active Directory user 属性。
同步用户列表
可创建“同步用户列表”(SUL) 来定义 Sun 和 Windows 目录中要同步的具体用户。这些定义可以实现平面“目录信息树”(DIT) 到分层目录树的同步。
以下概念用于定义“同步用户列表”:
SUL 包括两个定义,每个定义都按照拓扑意义上的目录类型确定要同步的用户组。
准备创建 SUL 时,请考虑以下问题:
- 要同步哪些用户?
- 哪些用户不在同步之列?
- 应在何处创建新用户?
注意
有关创建 SUL 的详细信息,请参阅附录 D。
移植至版本 1 2004Q3从 Identity Synchronization for Windows 版本 1.0(或版本 1.0 SP1)进行移植所用的步骤与首次安装 1 2004Q3 的步骤类似,少数步骤除外。
注意
在第 7 章中介绍了相关的移植步骤。
在移植至 Identity Synchronization for Windows 1 2004Q3 之前,应注意以下几点:
如果版本 1 2004Q3 的安装程序发现版本 1.0 系统的残留内容,则可能导致安装到 Directory Server 上的 Identity Synchronization for Windows 模式和实际安装到机器上的 Identity Synchronization for Windows 二进制文件出现问题。
注意
有关详细信息,请参阅如果 1.0 卸载失败应采取何种措施。
与 Active Directory 同步密码Windows 2000 上的默认密码策略在 Windows 2003 中已更改,以在默认情况下强制实施严格的密码。
Identity Synchronization for Windows 服务有时必须创建没有密码的条目(例如,在从 Directory Server 到 Active Directory 的 resync -c 期间)。因此,如果在 Active Directory(Windows 2000 或 2003 上)上或在 Directory Server 上启用了密码策略,会导致用户创建错误。
虽然不必禁用 Active Directory 或 Directory Server 上的密码策略,但应了解在不同系统上强制实施密码策略的相关问题。
如果您要与 Windows 2003 Server 标准版或企业版上的 Active Directory 同步密码,则下面的安装信息非常重要:
本节余下的内容编排如下:
强制实施密码策略
本节解释 Active Directory(在 Windows 2003 Server 和 Windows 2000 环境下)以及 Sun Java System Directory Server 5 2004Q2 的密码策略如何能够影响同步结果。
内容具体安排如下:
概述
如果在 Active Directory(或 Directory Server)上创建的用户满足相应系统要求的密码策略,则可创建这些用户,并可在两个系统间正确同步。如果在两个系统上都启用了密码策略,则密码必须同时满足两个系统的策略,否则同步用户创建将失败。
重要说明
以下各节提供关于密码策略的重要信息:
Directory Server 密码策略
如果在 Active Directory 中创建的用户所具有的密码违反 Directory Server 的密码策略,则尽管仍会创建这些用户并在 Directory Server 中同步,但创建的条目将不含密码。新用户登录到 Directory Server(此时将触发即时请求密码同步)之前将不会设置密码。而由于登录密码违反 Directory Server 密码策略,此时的登录将失败。
可以采用几种方法从这种状况恢复:
您可能要查看 Active Directory 和 Directory Server 上设置的密码策略是否等效(或尽可能相似)。
Active Directory 密码策略
如果在 Active Directory 上创建了不符合 Active Directory 密码策略的用户,则在 Directory Server 上将会创建这些用户。
- 如果密码不符合 Active Directory 密码策略要求,则 Active Directory 实际上只是临时创建用户,随后即会删除相应条目。因此,Active Directory Connector 会发现此类临时 ADD,然后在 Directory Server 端创建用户。这些用户在 Directory Server 中不具有密码,因此没有人能够以这种用户身份登录。另外,这些条目不会链接到 Active Directory 中的有效条目。如果是从 Active Directory 到 Directory Server 对删除操作进行同步,这些临时创建的用户将会被自动删除。
- 在 Directory Server 上创建了没有密码的用户。除非用户条目中包含密码,否则 Directory Server 不会对用户创建强制实施密码策略。
可以采用几种方法从这种状况进行恢复。首选方法是从 Active Directory 到 Directory Server 同步删除。或者,可从 Directory Server 中删除用户,然后使用符合 Active Directory 密码策略的有效密码将它们添加至 Active Directory。此方法可以确保在 Directory Server 上创建用户并且链接正常。当 Directory Server 上的用户首次登录 Active Directory 并更改密码后,他们将使其密码失效。
- 如果不从 Directory Server 中删除用户,然后试图使用新密码重新添加该 Active Directory 用户,则将用户添加到 Directory Server 的 ADD 操作将失败,因为 Directory Server 中已经存在该用户。这些条目将不会链接在一起,您必须运行 idsync resync 命令才能链接两个单独帐户。
- 如果运行 idsync resync 命令,则必须确保为链接至 Directory Server 条目的 Active Directory 上的帐户重设密码。重设密码操作会使 Directory Server 上的相应密码失效,从而在用户下次以其新的 Active Directory 密码进行 Directory Server 验证时强制执行即时请求同步,以更新 Directory Server 密码。
创建没有密码的帐户
在某些情况下(如重新同步),Identity Synchronization for Windows 必须创建没有密码的帐户。
当 Identity Synchronization for Windows 在 Directory Server 中创建没有密码的条目时,它会将 userpassword 属性设置为 {PSWSYNC}*INVALID*PASSWORD*。在重设密码之前,用户将不能登录至 Directory Server。其中的一个例外是运行含有 -i NEW_USERS 或 NEW_LINKED_USERS 选项的 resync 命令。此时,resync 将使新用户的密码失效,并会在用户下次登录时触发即时请求密码同步。
当 Identity Synchronization for Windows 在 Active Directory 中创建没有密码的条目时,它会将用户密码设置为随机选择的重要密码,该密码符合 Active Directory 密码策略要求。此时,会记录一条警告消息,且在重设密码前,用户不能登录至 Active Directory。
下面的表格说明在您使用 Identity Synchronization for Windows 时可能遇到的一些不同方案:
这些信息可以作为帮助确保密码保持同步的指导原则。(由于系统配置各不相同,故这些表格并不包含所有可能的配置方案。)
表 2-4 密码策略如何影响同步行为
方案
结果
用户最初创建于
用户符合的
密码策略用户创建于
Directory Server
Active Directory
Directory Server
Active Directory
注释
Active Directory
是
是
是
是
是
否
是(参见
注释)否
用户将创建于 Directory Server 中。
不过,如果从 Active Directory 到 Directory Server 同步删除,则会立即删除此用户。有关详细信息,请参阅Active Directory 密码策略。
否
是
是
是
有关详细信息,请参阅重要说明。
否
否
是(参见
注释)否
用户创建于 Directory Server 中。
不过,如果从 Active Directory 到 Directory Server 同步删除,则会立即删除此用户。有关详细信息,请参阅Active Directory 密码策略。
Directory Server
是
是
是
是
是
否
是
否
否
是
否
否
否
否
否
否
表 2-5 密码策略如何影响重新同步行为
方案
Resync 命令
用户满足的密码策略
结果
Directory Server
Active Directory
resync -c -o Sun
N/A
是
用户创建于 Active Directory 中,但不能登录。
有关详细信息,请参阅创建没有密码的帐户。
N/A
否
用户创建于 Active Directory 中,但不能登录。
有关详细信息,请参阅创建没有密码的帐户。
resync -c -i NEW_USERS | NEW_LINKED_USERS
是
N/A
用户将创建于 Directory Server 中,并在该用户首次登录时设置其密码。
有关详细信息,请参阅创建没有密码的帐户。
否
N/A
用户将创建于 Directory Server 中,但由于这些用户的密码违反 Directory Server 密码策略,他们无法登录。
resync -c
是
N/A
用户将创建于 Directory Server 中,但在 Active Directory 或 Directory Server 中设置新的密码值之前,这些用户无法登录。
有关详细信息,请参阅创建没有密码的帐户。
否
N/A
用户将创建于 Directory Server 中,但在 Active Directory 或 Directory Server 中设置新的密码值之前,这些用户无法登录。
有关详细信息,请参阅创建没有密码的帐户。
密码策略示例
本节介绍使用以下规范的 Active Directory 和 Directory Server 密码策略的不同方案的示例:
错误消息
在“核心”系统的中心记录器 audit.log 文件中检查以下错误消息:
由于密码策略的原因而无法在即时请求同步期间更新 DS上的密码:
WARNING 125 CNN100 hostname "DS Plugin (SUBC100):unable to update password of entry ’cn=John Doe,ou=people,o=sun’, reason:possible conflict with local password policy"
注意
有关 Windows 2003 密码策略的详细信息,请参阅 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp
有关 Directory Server 5 2004Q2 密码策略的详细信息,请参阅
配置 Windows 以使用 SSL 操作如果计划将密码更改从 Directory Server 传播至 Windows Active Directory 服务器,则必须将每个 Active Directory 服务器都配置为使用 SSL 且必须安装高级加密包。
如果 Active Directory 中基于 SSL 的 LDAP 已经通过从 Microsoft Certificate Services Enterprise Root 证书授权机构自动获得证书而启用,则 Identity Synchronization for Windows Active Directory Connector 安装程序能够自动在 Active Directory Connector 中建立 SSL,如以下网站中所述:
http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078
但是,基于 SSL 的 LDAP 可以按照以下 MSDN 技术说明中提供的信息更方便地进行配置:
http://support.microsoft.com/default.aspx?scid=kb;en-us;321051
此时,如果决定使用需要信任证书进行 SSL 通信,则必须在连接器的证书数据库中手动安装该证书,如在 Active Directory Connector 中启用 SSL中所述。
安装和配置决策本节提供了安装和配置概要,并详细说明了部署 Identity Synchronization for Windows 时需要做出的选择。在开始安装过程之前,请获取以下信息。本节包括:
核心安装
安装“核心”时,必须提供以下信息:
核心配置
配置“核心”时,必须提供以下信息:
- Sun Java System Directory 模式服务器:指定需要从配置目录加载的 Directory Server 数据。
- 用户对象类(仅限 Directory Server):指定用于确定用户类型的 user 对象类。Identity Synchronization for Windows 会基于此对象类派生属性(包括密码属性)列表。此列表从模式中填充而来。
- 已同步的属性:指定要在 Directory Server 和 Windows 环境之间同步的用户条目属性。
- 修改、创建和删除的流动:指定需要如何在 Sun 和 Windows 系统之间传播修改、创建和删除操作。选项包括:
- 全局目录:指定全局目录(Active Directory 拓扑的信息库和模式信息)。
- Active Directory 模式控制器:指定要从 Windows 全局目录检索的 Active Directory 模式源的“全限定域名”(FQDN)。
- 配置目录:指定存储 Identity Synchronization for Windows 配置的 Directory Server。
- Active Directory 源:指定用于同步 Active Directory 域的源。
- Windows NT 主域控制器:指定要执行同步的 Windows NT 域以及每个域的“主域控制器”名称。
- 同步用户列表:使用 LDAP DIT 和过滤器信息指定要在 Directory Server、Active Directory 和 NT 上同步的用户。
- Sun Java System Directory Server:指定用于存储要同步的用户的 Directory Server 实例。
连接器和 Directory Server 插件安装
在安装连接器和 Directory Server 插件时,必须提供以下信息:
安装 Directory Server 和 Windows NT Connector 时,必须指定一个未使用的端口。
安装 Directory Server Connector 和插件时,必须为与该连接器和插件相对应的 Directory Server 指定主机、端口和证书。
使用命令行实用程序
Identity Synchronization for Windows 允许您使用以下实用程序从命令行执行各种任务:
- 使用含有以下子命令的 idsync 脚本执行 Identity Synchronization for Windows 命令行实用程序:
- resetconn:将配置目录中的连接器状态重设为尚未安装(仅在硬件或卸载程序发生故障时)
- resync:作为安装过程的一部分,重新同步和链接已有用户并预先填充目录
- startsync:启动同步
- stopsync:停止同步
注意
有关上述实用程序的详细信息,请参阅附录 A。
- 使用以下实用程序将 Identity Synchronization for Windows 1.0 或 1.0 SP1 移植到 Identity Synchronization for Windows 1 2004Q3:
- forcepwchg:在从 Identity Synchronization for Windows 版本 1.0 移植至版本 1 2004Q3 的过程中,对于已更改了密码的用户,需要提供密码更改
- importcnf:导入已导出的版本 1.0 配置 XML 文档
注意
有关上述实用程序的详细信息,请参阅第 7 章。
安装清单以下清单旨在对安装过程提供帮助。请将它们打印出来,并在安装 Identity Synchronization for Windows 以前记录以下信息。
表 2-6 核心安装清单
必需的信息
条目
配置目录主机和端口
配置目录的根后缀(例如 dc=example,dc=com)
要安装 Identity Synchronization for Windows 的文件系统目录
配置目录服务器管理员的名称和密码
用于保护敏感配置信息的安全配置密码
Message Queue 实例的端口号
表 2-8 连接器和 Directory Server 插件安装清单
必需的信息
条目
配置目录主机和端口
配置目录的根后缀
在其中安装连接器的文件系统目录
配置 Directory Server 管理员的名称和密码
用于保护敏感配置信息的安全配置密码
目录源
Directory Server 和 Windows NT 的未用端口
对应于连接器和插件的 Directory Server 的主机、端口和证书
表 2-9 链接用户清单
表 2-10 重新同步清单
必需的信息
条目
同步用户列表选定对象
同步源。
如果在目标目录源中未找到相应用户,是否自动创建一个用户条目?
要使 Directory Server 密码失效吗?
是否仅同步与指定 LDAP 过滤器匹配并位于选定 SUL 中的用户?