Sun Java logo     上一页      目录      索引      下一页     

Sun logo
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 

第 2 章
准备安装

在安装 Identity Synchronization for Windows 1 2004Q3 或从版本 1.0 移植至版本 1 2004Q3 之前,应先熟悉安装及配置过程。

本章介绍了这些过程,并提供有助于准备本产品安装的其它信息。这些信息被编排在以下各节中:


安装要求

本节说明 Identity Synchronization for Windows 的安装要求,包括操作系统版本、修补程序和每个平台的实用程序。

操作系统要求

以下各表描述了本版本 Identity Synchronization for Windows 的操作系统要求:

表 2-1 Solaris 要求 

组件

Solaris 要求

核心组件

Solaris 8 for UltraSPARC®(32 位和 64 位)
Solaris 9 SPARC® Platform Edition(32 位和 64 位)
Solaris 9 操作系统(x86 Platform Edition for Pentium II 或更高版本)IA-32

用于 Sun Java System Directory Server 和 Windows Active Directory 的连接器

Solaris 8 for UltraSPARC(32 位和 64 位)
Solaris 9 for SPARC 平台(32 位和 64 位)
Solaris 9 操作系统(x86 Platform Edition for Pentium II 或更高版本)IA-32

用于 Sun Java System Directory Server 的插件

Solaris 8 for UltraSPARC(32 位和 64 位)
Solaris 9 for SPARC 平台(32 位和 64 位)
Solaris 9 操作系统(x86 Platform Edition for Pentium II 或更高版本)IA-32

表 2-2 Windows 要求 

组件

Windows 要求

核心

Windows 2000 Server SP4
Windows 2000 Advanced Server SP4

Windows 2003 Server 标准版(具有最新的安全更新)

Windows 2003 Server 企业版(具有最新的安全更新)

用于 Sun Java System Directory Server 和 Windows Active Directory 的连接器

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4

Windows 2003 Server 标准版(具有最新的安全更新)

Windows 2003 Server 企业版(具有最新的安全更新)

用于 Sun Java System Directory Server 的插件

Windows 2000 Server SP4
Windows 2000 Advanced Server SP 4

Windows 2003 Server 标准版(具有最新的安全更新)

Windows 2003 Server 企业版(具有最新的安全更新)

NT Connector 和子组件

Windows Primary Domain Controller NT 4.0 Server SP 6A (仅限 x86)

硬件要求

要运行 Identity Synchronization for Windows,您的硬件(所有平台)必须满足以下最低要求:

Sun Java System 软件要求

在安装 Identity Synchronization for Windows 之前,必须先安装以下 Sun Java System 软件组件:

安装证书

要安装 Identity Synchronization for Windows,必须为以下目标提供证书:

此外,必须具有以下权限才能安装 Identity Synchronization for Windows:


注意

使用基于文本的安装程序输入密码时,程序将自动屏蔽密码,从而密码不会以明文显示。只有 Solaris 系统支持基于文本的安装程序。



安装概述

图 2-1 说明在单主机部署中安装本产品的过程。

图 2-1 在单主机部署中安装

流程图显示用于升级单主机环境的步骤。

某些组件必须按照特别的顺序进行安装,因此请务必仔细阅读全部安装说明。

Identity Synchronization for Windows 提供“待执行”列表,它在整个安装和配置过程中显示。此信息面板列出要成功安装和配置本产品所必须遵循的所有步骤。

图 2-2 Identity Synchronization for Windows 待执行列表

此面板列出其余必须执行的安装/配置步骤。

当您逐步执行安装和配置过程时,程序会将列表中所有已完成的步骤变灰(如图 2-2 所示)。

本节的其余部分提供安装和配置过程的概述,并编排为如下内容:

安装核心

安装“核心”时,将安装以下组件:

配置产品

安装“核心”之后,便可使用“控制台”从一个集中位置对全部要同步的目录源(及其它部署特性)进行初始配置。


注意

有关配置目录源的说明,请参阅第 4 章,“配置核心资源”


准备 Directory Server

Directory Server Connector 支持 Sun Java System Directory Server 5 2004Q2。

在能够安装 Directory Server Connector 之前,必须为每个已配置并要同步的 Directory Server 主服务器(包括首选主服务器和备用主服务器)准备一个 Sun Java System Directory Server 源。

可以从“控制台”或从命令行使用 idsync prepds 子命令执行此任务。


注意

有关准备 Directory Server 的说明,请参阅准备 Directory Server


安装连接器和 Directory Server 插件

可以安装任意数量的连接器和 Directory Server 插件,具体数量视系统包含的已配置目录数而定。


注意

“控制台”和安装程序都使用要同步目录的标签将连接器与该目录相关联。表 2-3 描述 Identity Synchronization for Windows 的标签命名约定。


表 2-3 标签命名约定

连接器类型

目录源标签

子组件

Directory Server Connector

根后缀或后缀/数据库

Directory Server 插件
在每个 Directory Server(主服务器或用户服务器)中为要同步的根后缀安装一个“插件”。

AD Connector

域名

NT Connector

域名

(自动与 Window NT Connector 一起安装)Change Detector 和 Password Filter DLL 子组件共同安装在同一安装中。

必须使用图形用户界面 (GUI) 安装程序安装 Windows NT Connector。


注意

有关安装和配置“连接器”和 Directory Server 插件的说明,请参阅第 5 章,“安装连接器和 Directory Server 插件”


同步现有用户

安装连接器、插件和子组件后,必须运行 idsync resync 命令行实用程序以引导包含现有用户的部署。此命令使用管理员指定的匹配规则实现:


配置概述

安装本产品之后,必须配置产品部署,其中包括:

本节概括说明了以下配置元素概念:

目录

目录代表:

可为每类目录配置任意数量的目录。

配置目录和全局目录

Identity Synchronization for Windows 将 Sun Java System Directory Server 配置目录和 Active Directory 全局目录用作信息库,在其中获取 Directory Server 或 Active Directory 目录拓扑以及这些目录的模式信息。

同步设置

同步设置用于控制在 Sun 和 Windows 目录之间传播对象创建、对象删除、密码及其它属性修改的方向。同步流动选项列出如下:

对象类

配置资源时,您将根据条目的对象类来指定要同步的条目。对象类可确定哪些属性可用于 Directory Server 和 Active Directory 同步。


注意

对象类不适用于 Windows NT。


Identity Synchronization for Windows 支持两种类型的对象类:

属性和属性映射

属性保留与用户条目有关的说明性信息。每个属性都有一个标签、一个或多个值,并且遵循可作为属性值存储的信息类型的标准语法。


注意

可从“控制台”定义属性。在第 4 章中提供了有关定义属性的操作说明。


属性类型

Identity Synchronization for Windows 以下述方式同步重要属性和创建用户属性:

参数化属性默认值

Identity Synchronization for Windows 允许使用其它创建属性或重要属性为创建属性创建参数化默认值。

要创建参数化默认属性值,请在表达式字符串中插入现有创建属性或重要属性的名称(前后加上百分号 (%<attribute_name>%))。例如,homedir=/home/%uid%cn=%givenName%.%sn%

创建这些属性默认值时:

映射属性

定义要同步的属性后,必须在 Sun 和 Windows 系统间映射属性名称。例如,必须将 Sun inetorgperson 属性映射到 Active Directory user 属性。


注意

属性映射用于“重要”和“创建”两类属性,而且必须为每种目录类型中的所有“强制创建属性”配置属性映射。


同步用户列表

可创建“同步用户列表”(SUL) 来定义 Sun 和 Windows 目录中要同步的具体用户。这些定义可以实现平面“目录信息树”(DIT) 到分层目录树的同步。

以下概念用于定义“同步用户列表”:

SUL 包括两个定义,每个定义都按照拓扑意义上的目录类型确定要同步的用户组。

准备创建 SUL 时,请考虑以下问题:


移植至版本 1 2004Q3

从 Identity Synchronization for Windows 版本 1.0(或版本 1.0 SP1)进行移植所用的步骤与首次安装 1 2004Q3 的步骤类似,少数步骤除外。


注意

第 7 章中介绍了相关的移植步骤。


在移植至 Identity Synchronization for Windows 1 2004Q3 之前,应注意以下几点:


与 Active Directory 同步密码

Windows 2000 上的默认密码策略在 Windows 2003 中已更改,以在默认情况下强制实施严格的密码。

Identity Synchronization for Windows 服务有时必须创建没有密码的条目(例如,在从 Directory Server 到 Active Directory 的 resync -c 期间)。因此,如果在 Active Directory(Windows 2000 或 2003 上)上或在 Directory Server 上启用了密码策略,会导致用户创建错误。

虽然不必禁用 Active Directory 或 Directory Server 上的密码策略,但应了解在不同系统上强制实施密码策略的相关问题。

如果您要与 Windows 2003 Server 标准版或企业版上的 Active Directory 同步密码,则下面的安装信息非常重要:

本节余下的内容编排如下:

强制实施密码策略

本节解释 Active Directory(在 Windows 2003 Server 和 Windows 2000 环境下)以及 Sun Java System Directory Server 5 2004Q2 的密码策略如何能够影响同步结果。

内容具体安排如下:

概述

如果在 Active Directory(或 Directory Server)上创建的用户满足相应系统要求的密码策略,则可创建这些用户,并可在两个系统间正确同步。如果在两个系统上都启用了密码策略,则密码必须同时满足两个系统的策略,否则同步用户创建将失败。

重要说明

以下各节提供关于密码策略的重要信息:

Directory Server 密码策略

如果在 Active Directory 中创建的用户所具有的密码违反 Directory Server 的密码策略,则尽管仍会创建这些用户并在 Directory Server 中同步,但创建的条目将不含密码。新用户登录到 Directory Server(此时将触发即时请求密码同步)之前将不会设置密码。而由于登录密码违反 Directory Server 密码策略,此时的登录将失败。

可以采用几种方法从这种状况恢复:

您可能要查看 Active Directory 和 Directory Server 上设置的密码策略是否等效(或尽可能相似)。

Active Directory 密码策略

如果在 Active Directory 上创建了不符合 Active Directory 密码策略的用户,则在 Directory Server 上将会创建这些用户。

可以采用几种方法从这种状况进行恢复。首选方法是从 Active Directory 到 Directory Server 同步删除。或者,可从 Directory Server 中删除用户,然后使用符合 Active Directory 密码策略的有效密码将它们添加至 Active Directory。此方法可以确保在 Directory Server 上创建用户并且链接正常。当 Directory Server 上的用户首次登录 Active Directory 并更改密码后,他们将使其密码失效。

创建没有密码的帐户

在某些情况下(如重新同步),Identity Synchronization for Windows 必须创建没有密码的帐户。

Directory Server    

当 Identity Synchronization for Windows 在 Directory Server 中创建没有密码的条目时,它会将 userpassword 属性设置为 {PSWSYNC}*INVALID*PASSWORD*。在重设密码之前,用户将不能登录至 Directory Server。其中的一个例外是运行含有 -i NEW_USERSNEW_LINKED_USERS 选项的 resync 命令。此时,resync 将使新用户的密码失效,并会在用户下次登录时触发即时请求密码同步。

Active Directory    

当 Identity Synchronization for Windows 在 Active Directory 中创建没有密码的条目时,它会将用户密码设置为随机选择的重要密码,该密码符合 Active Directory 密码策略要求。此时,会记录一条警告消息,且在重设密码前,用户不能登录至 Active Directory。

下面的表格说明在您使用 Identity Synchronization for Windows 时可能遇到的一些不同方案:

这些信息可以作为帮助确保密码保持同步的指导原则。(由于系统配置各不相同,故这些表格并不包含所有可能的配置方案。)

表 2-4 密码策略如何影响同步行为

方案

  结果

用户最初创建于

用户符合的
密码策略

  用户创建于

 

 

Directory Server

Active Directory

  Directory   Server

Active Directory

注释

Active Directory

  是

 

  是(参见
  注释)

用户将创建于 Directory Server 中。
不过,如果从 Active Directory 到 Directory Server 同步删除,则会立即删除此用户。

有关详细信息,请参阅Active Directory 密码策略

  是

有关详细信息,请参阅重要说明

  是(参见
  注释)

用户创建于 Directory Server 中。
不过,如果从 Active Directory 到 Directory Server 同步删除,则会立即删除此用户。

有关详细信息,请参阅Active Directory 密码策略

Directory Server

  是

 

  是

 

  否

 

  否

 

表 2-5 密码策略如何影响重新同步行为

方案

 

Resync 命令

用户满足的密码策略

结果

 

Directory Server

Active Directory

resync -c -o Sun

N/A

用户创建于 Active Directory 中,但不能登录。

有关详细信息,请参阅创建没有密码的帐户

 

N/A

用户创建于 Active Directory 中,但不能登录。

有关详细信息,请参阅创建没有密码的帐户

resync -c -i NEW_USERS | NEW_LINKED_USERS

N/A

用户将创建于 Directory Server 中,并在该用户首次登录时设置其密码。

有关详细信息,请参阅创建没有密码的帐户

N/A

用户将创建于 Directory Server 中,但由于这些用户的密码违反 Directory Server 密码策略,他们无法登录。

有关详细信息,请参阅重要说明创建没有密码的帐户

resync -c

N/A

用户将创建于 Directory Server 中,但在 Active Directory 或 Directory Server 中设置新的密码值之前,这些用户无法登录。

有关详细信息,请参阅创建没有密码的帐户

N/A

用户将创建于 Directory Server 中,但在 Active Directory 或 Directory Server 中设置新的密码值之前,这些用户无法登录。

有关详细信息,请参阅创建没有密码的帐户

密码策略示例

本节介绍使用以下规范的 Active Directory 和 Directory Server 密码策略的不同方案的示例:

错误消息

在“核心”系统的中心记录器 audit.log 文件中检查以下错误消息:

由于密码策略的原因而无法在即时请求同步期间更新 DS上的密码:

WARNING 125 CNN100 hostname "DS Plugin (SUBC100):unable to update password of entry ’cn=John Doe,ou=people,o=sun’, reason:possible conflict with local password policy"


注意

有关 Windows 2003 密码策略的详细信息,请参阅 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp

有关 Directory Server 5 2004Q2 密码策略的详细信息,请参阅

http://docs.sun.com/db/coll/DirectoryServer_04q2



配置 Windows 以使用 SSL 操作

如果计划将密码更改从 Directory Server 传播至 Windows Active Directory 服务器,则必须将每个 Active Directory 服务器都配置为使用 SSL 且必须安装高级加密包。

如果 Active Directory 中基于 SSL 的 LDAP 已经通过从 Microsoft Certificate Services Enterprise Root 证书授权机构自动获得证书而启用,则 Identity Synchronization for Windows Active Directory Connector 安装程序能够自动在 Active Directory Connector 中建立 SSL,如以下网站中所述:

http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078

但是,基于 SSL 的 LDAP 可以按照以下 MSDN 技术说明中提供的信息更方便地进行配置:

http://support.microsoft.com/default.aspx?scid=kb;en-us;321051

此时,如果决定使用需要信任证书进行 SSL 通信,则必须在连接器的证书数据库中手动安装该证书,如在 Active Directory Connector 中启用 SSL中所述。


安装和配置决策

本节提供了安装和配置概要,并详细说明了部署 Identity Synchronization for Windows 时需要做出的选择。在开始安装过程之前,请获取以下信息。本节包括:

核心安装

安装“核心”时,必须提供以下信息:

核心配置

配置“核心”时,必须提供以下信息:

连接器和 Directory Server 插件安装

在安装连接器和 Directory Server 插件时,必须提供以下信息:

安装 Directory Server 和 Windows NT Connector 时,必须指定一个未使用的端口。

安装 Directory Server Connector 和插件时,必须为与该连接器和插件相对应的 Directory Server 指定主机、端口和证书。

使用命令行实用程序

Identity Synchronization for Windows 允许您使用以下实用程序从命令行执行各种任务:


安装清单

以下清单旨在对安装过程提供帮助。请将它们打印出来,并在安装 Identity Synchronization for Windows 以前记录以下信息。

表 2-6 核心安装清单

必需的信息

条目

配置目录主机和端口

 

配置目录的根后缀(例如 dc=example,dc=com)

 

要安装 Identity Synchronization for Windows 的文件系统目录

 

配置目录服务器管理员的名称和密码

 

用于保护敏感配置信息的安全配置密码

 

Message Queue 实例的端口号

 

表 2-7 核心配置清单  

必需的信息

条目

Active Directory 全局目录(如果合适)

 

Directory Server 模式服务器

 

Directory Server 用户结构和辅助对象类

 

已同步的属性

 

用户条目创建的流动

 

用户条目修改的流动

 

用户条目激活和禁用的流动

 

用户条目删除的流动

 

Sun Java System Directory Server 目录源

 

Active Directory 目录源

 

同步用户列表

 

Windows 源过滤器创建表达式

 

Sun Java System 源过滤器创建表达式

 

表 2-8 连接器和 Directory Server 插件安装清单

必需的信息

条目

配置目录主机和端口

 

配置目录的根后缀

 

在其中安装连接器的文件系统目录

 

配置 Directory Server 管理员的名称和密码

 

用于保护敏感配置信息的安全配置密码

 

目录源

 

Directory Server 和 Windows NT 的未用端口

 

对应于连接器和插件的 Directory Server 的主机、端口和证书

 

表 2-9 链接用户清单

必需的信息

条目

要链接的同步用户列表

 

用于匹配等价用户的属性

 

XML 配置文件

 

表 2-10 重新同步清单

必需的信息

条目

同步用户列表选定对象

 

同步源。

 

如果在目标目录源中未找到相应用户,是否自动创建一个用户条目?

 

要使 Directory Server 密码失效吗?

 

是否仅同步与指定 LDAP 过滤器匹配并位于选定 SUL 中的用户?

 



上一页      目录      索引      下一页     


文件号码:817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。