上一页      目录      索引      下一页
Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南

第 4 章
配置核心资源

必须在安装 Identity Synchronization for Windows 核心（如第 3 章所述）后，立即对“核心”资源进行初始配置。

本章说明如何使用“控制台”添加和配置这些资源，内容编排在以下各节中：

配置概述
打开 Identity Synchronization for Windows 控制台
创建目录源
选择和映射用户属性
在系统间传播用户属性
创建同步用户列表
保存配置

注意	要有效配置“核心”资源，必须了解如何配置和操作 Directory Server 和 Active Directory。 不必按特定顺序配置这些资源（除非文中另有说明）；但是，在熟悉本产品前按本章说明的顺序进行配置可以节省时间，避免错误。

---

配置概述

图 4-1 说明了针对您的部署而配置“核心”资源将采取的步骤。

图 4-1 针对您的部署配置核心资源

---

打开 Identity Synchronization for Windows 控制台

注意	如果尚未登录到 Sun Java System Server Console，请返回到（详细信息...）查看相关说明。

Sun Java System Server Console 窗口（图 4-2）列出在您控制之下的所有服务器和资源，并提供有关您的系统的信息。

图 4-2 Sun Java System Server Console

要打开 Identity Synchronization for Windows 控制台：

在“服务器和应用程序”选项卡中，在含有 Identity Synchronization for Windows 实例所属的“服务器组”的导航树中选择主机名节点。
展开“服务器组”节点，并选择 Identity Synchronization for Windows 节点（参见图 4-3）。

图 4-3 展开服务器组



信息面板变为提供关于 Identity Synchronization for Windows 和系统信息的面板（例如图 4-4 中所示）。

图 4-4 Identity Synchronization for Windows 信息面板



单击“打开”按钮（位于面板的右上角）。

注意	“编辑”按钮（位于面板的底部）可用来编辑“服务器名”和“说明”。

将提示您输入安装“核心”时指定的配置密码（请参阅（详细信息...））。输入该密码，然后单击“确定”。

将显示 Identity Synchronization for Windows 控制台，如下所示：

图 4-5 Identity Synchronization for Windows 控制台：任务选项卡



此窗口含有三个选项卡和一个“状态条”：

任务（默认）：使用此选项卡可以停止和启动 Sun 和 Windows 系统间的同步。（有关启动和停止服务的信息，请参阅第 6 章，“同步现有用户”。）

注意	不要将启动和停止“同步服务”与启动和停止 Windows 服务混淆。 要启动或停止 Windows 服务，必须通过“Windows 控制台”进行操作，方法是选择“开始”>“控制台”>“管理工具”>“计算机管理”>“服务”。

配置：使用此选项卡可以配置系统，以便进行同步。
状态：使用此选项卡可进行以下操作：
监视系统组件（如“连接器”）的状态。
查看在配置和同步过程中由 Identity Synchronization for Windows 生成的审计和错误日志。
更新和检查安装和配置“待执行”列表。
状态条：查看此位置可获知简要的系统状态信息。

注意	有关“状态”选项卡的详细信息，请参阅第 10 章。

选择“配置”选项卡（参见图 4-6）。

图 4-6 Identity Synchronization for Windows 控制台：配置选项卡



“配置”面板包括以下选项卡：

属性：使用此选项卡可以指定要在系统间同步的属性。
属性修改：使用此选项卡可以指定密码、属性修改和对象禁用如何在系统间传播。
对象创建：使用此选项卡可以指定新创建的密码和属性如何在系统间传播，并指定在同步过程中由 Identity Synchronization for Windows 创建的对象的初始值。
对象删除：使用此选项卡可以指定删除的密码和属性如何在系统间传播。

必须至少配置一个 Sun Java System Directory Server 目录源和一个 Windows 服务器目录源（Active Directory 或 Windows NT）。有关说明，请继续阅读下面的小节。

---

创建目录源

必须按以下顺序创建目录源（基于要同步哪些源来创建）：

创建 Sun Java System Directory 源
准备 Directory Server
创建 Active Directory 源
创建 Windows NT SAM 目录源

注意	必须至少配置一个 Sun Java System Directory 源和一个 Windows 目录源（Active Directory 和/或 NT SAM）。

选择导航树中的“目录源”节点，将显示“目录源”面板（参见图 4-7）。

图 4-7 访问目录源面板

创建 Sun Java System Directory 源

注意	每个 Sun Java System 目录源都与一个“连接器”和可以部署在最多四台主服务器的复制方案中的一组“插件”关联。任何 Directory Server 插件都可以从 Windows 目录源执行密码有效性检查，而且用户可以在任何主服务器上更改密码；但是，Directory Server Connector 仅能对最多两台主服务器（首选服务器或备用服务器）的 Windows 目录源的更改进行同步。Directory Server 复制会将这两台服务器中的一台服务器的更改复制到部署中的其它服务器。

执行以下步骤可以创建新的 Sun Java System 目录源：

单击“新建 Sun 目录源”按钮，以调用“定义 Sun Java System Directory 源”向导。

图 4-8 选择根后缀



该程序查询一组已知的配置目录源，并在列表面板中显示现有根后缀（又称为命名上下文）。

默认情况下，该程序知道安装本产品的配置目录，而且配置目录知道的根后缀将在列表窗格中列出。

从列表窗格中选择用户所在的根后缀。（如果列出了多个根后缀，请选择用户所在的那个根后缀。）单击“下一步”，然后继续执行步骤 3。

如果需要与之同步的根后缀不附属于使用 Identity Synchronization for Windows 注册的配置目录，则请指定一个新的配置目录，如下所述：

单击“配置目录”按钮，以指定一个新的配置目录。
出现“配置目录”对话框（图 4-9）后，单击“新建”按钮打开“新建配置目录”对话框。

图 4-9 选择新配置目录



输入以下信息，然后单击“确定”保存更改，并关闭对话框。
主机：输入全限定主机名。

例如：machine1.example.com

端口：输入一个有效的未用 LDAP 端口号。（默认值为 389。）

如果 Identity Synchronization for Windows 使用 SSL（安全套接字层）端口与配置目录通信，则启用“此端口使用 SSL”框。

用户 DN：输入管理员的（绑定）识别名。

例如：

uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot

密码：输入管理员密码。

向导将查询指定的配置目录，以确定由该目录管理的所有目录服务器。

注意	Identity Synchronization for Windows 对每个 Sun Java System Directory Server 源仅支持一个根后缀。

注意	编辑和删除配置目录 还可以使用“配置目录”对话框管理配置目录列表，如下所述： 从列表窗格中选择一个配置目录，然后单击“编辑”按钮。出现“编辑配置目录”对话框后，可以更改“主机”、“端口”、“安全端口”、“用户名”和“密码”参数。 从列表窗格中选择一个配置目录，然后单击“删除”从列表中删除该目录。

单击“确定”关闭“配置目录”对话框，列表窗格中出现新选定的配置目录的根后缀。

默认情况下，Directory Server 创建一个前缀与机器的 DNS 域条目组件对应的根后缀。它使用以下后缀：

dc=<your_machine’s_DNS_domain_name>

即，如果您的机器域是 example.com，则应为您的服务器配置后缀 dc=example, dc=com。由选定后缀命名的条目必须已经存在于目录中。

选择该根后缀，然后单击“下一步”。

将显示“指定首选服务器”面板（参见图 4-10）。

图 4-10 指定首选服务器



Identity Synchronization for Windows 使用首选 Directory Server 检测在任何 Directory Server 主服务器上进行的更改。首选服务器还作为主位置使用，在该位置处，对 Windows 系统上的更改将应用于 Sun Java System 目录系统。

如果首选服务器出现故障，则备用服务器可以存储这些更改，直到首选服务器恢复联机状态为止。

使用以下方法之一选择首选服务器：
启用“选择已知服务器”按钮，然后从下拉列表中选择一个服务器名称。

注意	只有正在运行的 Directory Server 才能显示在列表中。如果服务器临时关闭，请启用“通过提供主机名和端口指定服务器”按钮，然后手动输入该服务器的信息。

如果希望 Directory Server 使用 SSL 通信，请启用“使用 SSL 进行安全通信”框。但是，如果启用此功能，则必须在安装完成后执行一些附加设置步骤。有关详细信息，请参阅在 Directory Server 中启用 SSL。

启用“通过提供主机名和端口指定服务器”按钮，然后将该服务器的“主机名”和“端口”键入提供的文本字段。

如果指定的端口使用 SSL，请启用“此端口使用 SSL”框。

单击“下一步”，将显示“指定备用服务器”面板。

图 4-11 指定备用服务器



要指定备用 Directory Server，请从下拉列表中选择一个名称或手动输入该信息（使用与指定首选服务器相同的步骤），然后单击“下一步”。

注意	Directory Server 必须正在运行，否则该服务器的名称不会在下拉列表中出现。如果该服务器临时关闭，请手动输入该服务器的信息。

如果不想使用备用服务器，只需单击“下一步”即可。

注意	不要在 Sun 目录源中对首选服务器和备用服务器使用相同的主机名和端口。 如果启用“安全端口”功能，则必须在安装完成后执行一些附加设置步骤。有关详细信息，请参阅在 Directory Server 中启用 SSL。

将出现“指定高级安全选项”面板，如下所示：

图 4-12 指定高级安全选项



作为安装过程的一部分，必须将 Directory Server 插件安装到每个要进行用户绑定或密码更改的 Directory Server（任何主服务器、副本服务器或集线器）上。

当 Directory Server 插件将密码和属性同步到 Active Directory 时，它必须绑定到 Active Directory 才能搜索用户及其密码。另外，“插件”会将日志消息写入中心日志和 Directory Server 的日志中。默认情况下，上述通信不通过 SSL 完成。

如果要使用安全 SSL 通信，请阅读所提供的警告说明，然后启用以下两个选项或其中之一：
要仅加密频道通信，或加密频道通信并使用证书，以确保在 Directory Server 和 Directory Server Connector 间对参与者进行身份验证，请启用“需要 SSL 证书”框。

如果不想信任证书，请清除该复选框。

要在 Directory Server 插件和 Active Directory 之间使用安全 SSL 通信，请启用“将 SSL 用于插件与 Active Directory 之间的通信”框。

注意	如果启用这些功能，则在安装后需要执行附加设置。有关详细信息，请参阅第 11 章，“配置安全性”。 可以使用 idsync certinfo 命令行实用程序确定必须为每个 Directory Server 插件和/或“连接器”证书数据库添加哪些证书。请参阅使用 certinfo。 如果主 Directory Server 和备用 Directory Server 是多主复制 (MMR) 部署的一部分，请参阅附录 E，“复制环境的安装注意事项”获得详细说明。

完成“指定高级安全选项”面板上的操作后，请单击“完成”。

该程序将选定的目录源添加至“目录源”下的导航树中，并显示“现在准备 Directory Server？”对话框。

必须准备要由 Identity Synchronization for Windows 使用的 Directory Server。可以选择现在或以后执行此任务 — 但必须在安装“连接器”前准备 Directory Server。（有关安装“连接器”的说明，请参阅第 5 章。）

如果需要现在准备 Directory Server，则单击“是”打开向导，然后继续阅读下一节准备 Directory Server。
如果希望以后执行此过程，则单击“否”，然后继续阅读创建 Active Directory 源。

准备 Directory Server

本节说明如何准备由 Identity Synchronization for Windows 使用的 Sun Java System Directory Server 源。

准备 Directory Server

创建首选主机上可用的 Retro-Changelog 数据库和访问控制实例
创建首选主机上的可用“连接器”用户和用户访问控制实例
在首选主机和备用主机上创建等同索引

注意	可以使用 idsync prepds 命令行实用程序代替“控制台”，以准备 Directory Server。有关详细信息，请参阅使用 prepds。 要使用 idsync prepds 命令行实用程序准备 Directory Server，必须知道要使用哪些主机和后缀，还必须拥有“目录管理员”证书。

可使用“准备 Directory Server”向导（图 4-13）准备 Directory Server。

图 4-13 输入“目录管理员”证书

要访问此向导，请使用以下方法之一：

出现“现在准备 Directory Server？”对话框后，单击“是”按钮。
出现“Sun 目录源”面板（在“配置”选项卡上）后，单击“准备 Directory Server”按钮。

准备 Directory Server 源：

输入“目录管理员”帐户的以下证书。
目录管理员用户名
目录管理员密码

如果使用的是备用主机（MMR 配置），则“备用主机”选项将处于活动状态，并且还必须为这些主机指定证书。

完成后，单击“下一步”，将显示“指定准备配置”面板（图 4-14）。

图 4-14 指定准备配置



阅读警告信息，然后确定现在还是以后创建 Directory Server 索引。

注意	此操作可能需要几秒或几分钟，具体情况由数据库大小决定。 当数据库处于只读模式时，任何更新数据库信息的尝试都将失败。 使数据库脱机可以加快索引的创建速度。

要现在创建索引，请启用“创建数据库的索引”框，然后单击“下一步”。
要以后创建索引（不论手动还是通过再次运行此向导），请清除“创建数据库索引”框，然后单击“下一步”。
将显示“准备状态”面板，此面板提供关于 Directory Server 准备进度的信息。
当在消息窗格底部显示“成功”消息时，单击“完成”。
如果显示错误消息，则必须在继续执行前纠正报告的问题。查看错误日志（参见“状态”选项卡）获得详细信息。
返回到“控制台”中的“配置”选项卡。选择导航树中的“Sun 目录源”节点以查看“Sun 目录源”面板（参见图 4-15）。

图 4-15 Sun 目录源面板



从此面板可以执行以下任务：

编辑服务器：单击此按钮可以重新打开“定义 Sun Java System Directory 源”面板，在该面板中可以更改任何服务器配置参数。如果需要，请查看为创建 Sun Java System Directory 源提供的说明。
准备 Directory Server：单击此按钮，然后按照准备 Directory Server 的说明准备 Directory Server。

如果在初次准备 Directory Server 后，该服务器发生了某些变化（例如，某个索引被删除或 Retro-Changelog 数据库丢失），则可以重新准备该服务器。

注意	如果为首选 Sun 目录源重新创建 Retro-Changelog 数据库，则默认的访问控制设置将不允许 Directory Server Connector 读取数据库内容。 要为新 Retro-Changelog 数据库恢复访问控制设置，请运行 idsync prepds 或在“控制台”中选择相应的 Sun 目录源，然后单击“准备 Directory Server”按钮。

再同步间隔：指定希望 Directory Server Connector 检查更改的频率。（默认值为 1000 毫秒。）
为要同步的 Sun Java System Directory Server 企业中的每个用户群体添加 Directory Server 目录源。

完成后，必须至少创建一个 Windows 目录源：

要创建 Active Directory 目录源，请继续阅读下一节创建 Active Directory 源。
要创建 Windows NT 目录源，请继续阅读创建 Windows NT SAM 目录源。

创建 Active Directory 源

应该为网络中每个要同步的 Windows 域添加 Active Directory 目录源。

每个 Active Directory 部署至少拥有一个全局目录，它了解跨越所有 Active Directory 域的所有全局信息。

注意	每个 Active Directory 服务器都可以是一个全局目录，而且一个部署可以拥有多个全局目录，但只需指定一个全局目录。

如果网络中存在 Windows Active Directory 服务器，请执行以下步骤：

选择导航树中的“目录源”节点，然后单击“目录源”面板上的“新建 Active Directory 源”按钮。

将显示“Windows 全局目录”对话框（图 4-16）。

图 4-16 Windows 全局目录



输入以下信息，然后单击“确定”：
主机：输入含有 Active Directory 森林结构全局目录的机器的全限定主机名。

例如：machine2.example.com

此端口使用 SSL：如果 Identity Synchronization for Windows 使用 SSL 端口与全局目录通信，请启用此选项。
用户 DN：输入管理员的（绑定）全限定识别名。（可以是任何能使您浏览模式和确定系统中的可用 Active Directory 域的证书。）

例如：cn=Administrator,cn=Users,dc=example,dc=com

密码：输入指定用户的密码。

将显示“定义 Active Directory 源”向导，如下所示：

图 4-17 定义 Active Directory 源向导



此向导查询 Active Directory 全局目录以确定其它存在的域，并在“域”列表窗格中显示这些域。

从列表窗格中选择一个名称，以指定一个 Active Directory 域，单击“确定”，然后继续执行步骤 5。

如果要使用的域未显示在列表中，必须按下面的步骤添加知道该域的全局目录：

单击“全局目录”按钮，将显示“全局目录”向导（图 4-18）。

图 4-18 指定新的全局目录



单击“新建”按钮。
出现“Windows 全局目录”对话框后，提供全局目录的主机名和“目录源”证书（如（详细信息...）所述），然后单击“确定”。
新的全局目录和端口将显示在“全局目录”列表窗格中。选择目录名，然后单击“确定”。
如果要将更多全局目录（域）添加到系统中，请重复上述步骤。
完成后，单击“选择域”窗格中的“下一步”按钮。
出现“指定证书”面板后，查看“用户 DN”字段中的值。

图 4-19 指定此 Active Directory 源的证书



如果程序未将管理员的识别名自动输入到“用户 DN”字段（或者您不想使用管理员证书），请手动输入“用户 DN”和密码。

当配置 Active Directory 源时，必须提供 Active Directory Connector 能用来连接 Active Directory 的用户名和密码。

注意	“连接器”需要特定的访问权限。最小权限取决于同步的方向，如下所述： 如果配置的同步仅从 Active Directory 流向 Directory Server，则为 Active Directory Connector 提供的用户不需要许多特权。拥有在要被同步的域中“查看所有属性”额外特权的一般用户就可以。 如果配置的同步是从 Directory Server 流动到 Active Directory，则“连接器”用户必须拥有更多特权，因为同步会更改 Active Directory 中的用户条目。在此设置中，“连接器”用户必须拥有“完全控制”特权或者是“管理员”组的成员。

单击“下一步”打开“指定域控制器”面板。

图 4-20 指定域控制器



使用此面板可以选择要在指定域内同步的控制器。（就概念而言，域控制器与 Directory Server 的首选服务器类似。）

如果选定的 Active Directory 域拥有多个域控制器，则选择拥有“主域控制器”FSMO 角色的域控制器进行同步。

默认情况下，在所有域控制器进行的密码更改会被立即复制到“主域控制器”FSMO 角色属主。如果选择此域控制器，Identity Synchronization for Windows 会立即将这些密码更改同步至 Directory Server。

在某些部署中，AvoidPdcOnWan 属性可以在 Windows 注册表中设置，因为到 PDC 有相当一段网络“距离”，因此会将同步明显延迟。（有关详细信息，请参阅 Microsoft Knowledge Base Article 232690。）

从下拉列表中选择域控制器。
如果希望 Identity Synchronization for Windows Connector 通过安全端口与域控制器通信，请启用“使用安全端口”框。

注意	如果使用的是 Microsoft 证书服务器，则程序会自动在 Active Directory Connector 中安装 CA 证书。如果使用的不是 Microsoft 证书服务器，则必须手动在 Active Directory Connector 中添加 CA 证书（请参阅在 Active Directory Connector 中启用 SSL）。另外，如果在初次配置后对流设置进行了更改，上述步骤也适用。

完成后，单击“下一步”。

将显示“指定故障转移控制器”面板（参见图 4-21）。可以使用此面板指定任意数量的故障转移域控制器。

图 4-21 指定故障转移控制器



Active Directory Connector 仅与一个 Active Directory 域控制器通信，Identity Synchronization for Windows 不支持由该“连接器”应用的故障转移更改。但是，在对 Directory Server 进行密码更改验证后，Directory Server 插件将与任意数量的域控制器通信。

如果 Directory Server 尝试连接到一个 Active Directory 域控制器，而该域控制器不可用，则 Directory Server 将反复尝试连接到指定的故障转移域控制器。

选择“故障转移服务器”列表窗格中列出的一个或多个服务器名称（或单击“全选”按钮指定列表中的所有服务器），然后单击“下一步”。
将出现“指定高级安全选项”面板（图 4-22）。

仅当启用“指定域控制器”面板（参见图 4-20）上的“使用 SSL 进行安全通信”框时，“需要信任 SSL 证书”选项才处于活动状态。

图 4-22 指定高级安全选项



如果禁用“需要信任 SSL 证书”框（默认设置），Active Directory Connector 将通过 SSL 连接到 Active Directory，而不验证是否信任通过 Active Directory 的证书。

禁用此选项可简化设置过程，因为不必将“Active Directory 证书”放入 Active Directory 证书数据库中。

如果启用“需要信任 SSL 证书”框，则 Active Directory Connector 将通过 SSL 连接到 Active Directory，而且必须验证是否信任通过 Active Directory 的证书。

注意	必须将“Active Directory 证书”添加到 Active Directory Connector 的证书数据库中。有关说明，请参阅将 Active Directory 证书添加到连接器的证书数据库中。

完成“高级安全选项”面板上的操作后，请单击“完成”按钮。

程序将新指定的 Active Directory 目录源添加至“目录源”下的导航树。

选择 Active Directory 目录源节点以查看“Active Directory 源”面板（参见图 4-23）。

图 4-23 Active Directory 源面板



从此面板可以执行以下任务：

编辑控制器：单击此按钮可以重新打开“指定域控制器”面板，在该面板中可以更改任何域控制器配置参数。如果需要，请查看为创建 Active Directory 源提供的说明。
再同步间隔：指定希望 Active Server Connector 检查更改的频率。（默认值为 1000 毫秒。）
目录源证书：更改指定的“用户 DN”和/或密码。

创建完 Active Directory 目录源后：

要创建 Windows NT 目录源，请继续阅读下一节创建 Windows NT SAM 目录源。
要创建和映射要同步的属性，请继续阅读选择和映射用户属性。

创建 Windows NT SAM 目录源

要在 Windows NT 平台上部署 Identity Synchronization for Windows，请指定 NT SAM 目录源，如下所述：

选择导航树中的“目录源”节点，然后单击“新建 Windows NT SAM 目录源”按钮。

图 4-24 目录源面板



显示“定义 Windows NT SAM 目录源”面板后（参见图 4-25），按照查找 Windows NT 域名的步骤进行操作，然后在“域”字段中输入唯一的 NT 目录源域名。完成后，单击“下一步”。

图 4-25 指定 Windows NT SAM 域名



显示“指定主域控制器的计算机名称”面板后（参见图 4-26），按照查找“主域控制器”计算机名称的步骤进行操作，然后在“计算机名”字段中输入信息。

图 4-26 指定主域控制器的名称



单击“完成”。

程序将新指定的 Windows NT SAM 目录源添加至“目录源”下的导航树。选择该新的目录源节点可以查看“Windows NT SAM 源”面板（参见图 4-27）。

图 4-27 Windows NT SAM 目录源面板



从此面板可以执行以下任务：

编辑：单击此按钮可以重新打开“指定域控制器”面板，在该面板中可以更改任何域控制器配置参数。如果需要，请查看为创建 Active Directory 源提供的说明。
再同步间隔：指定希望 Identity Synchronization for Windows 检查 Windows NT 上的更改的频率。（默认值为 1000 毫秒。）
为网络中的每台 Windows NT 机器添加一个 Windows NT 目录源。

创建完 Windows NT SAM 目录源后，就可以创建和映射要同步的属性了。有关说明请继续阅读选择和映射用户属性。

删除目录源

注意	如果已经安装了与目录源关联的连接器，则必须在删除该目录源之前卸载连接器。

如果必须删除目录源，请执行以下步骤：

在删除目录源以前，必须首先删除所有与该源关联的“同步用户列表”(SUL)。
右键单击导航树中“同步列表”下列出的相关“同步用户列表”节点。
出现弹出菜单后，选择“删除”将该 SUL 删除。

图 4-28 删除同步用户列表



右键单击导航树中“目录源”下列出的该目录源节点。
出现弹出菜单后，选择“删除”将该目录源删除。

---

选择和映射用户属性

完成 Directory Server 和 Windows 目录源的创建和配置后，必须确定要同步哪些用户属性，然后在系统间映射这些属性。

本节的内容编排如下：

选择和映射属性
创建参数化默认属性值
更改模式源

选择和映射属性

属性分为两种类型：

重要：创建或修改用户条目时，在系统间同步的属性。
创建：仅当创建用户条目时在系统间同步的属性。

根据每个平台使用的模式，某些创建属性是强制同步的属性。这些属性是进行密码同步所必需的，而且必须映射到 Sun 属性才能在 Active Directory 服务器上成功创建 user 对象类条目。

本节说明如何选择用于同步的用户属性，以及如何（一对一）映射这些属性，以便在为 Directory Server 指定一个属性后，相应属性会在 Active Directory 和/或 Windows NT 环境中显示（反之亦然），而且关联的 Windows 属性会同步更新它们的值。

选择和映射用于同步的属性：

选择导航树顶部的 Identity Synchronization for Windows 节点（参见图 4-29）。

图 4-29 属性选项卡



选择“属性”选项卡，然后单击“新建”按钮。

将显示“定义重要属性映射”对话框（图 4-30）。使用此对话框可将属性从 Directory Server 映射到 Windows 系统（Active Directory 和/或 Windows NT）。

图 4-30 定义重要属性映射



注意	哪些创建属性是 Directory Server（或 Active Directory）的强制属性取决于为 Sun 端（或 Active Directory 端）用户条目配置的对象类。

从 Sun Java System 属性下拉列表中选择一个属性（例如 cn），然后从 Active Directory 属性和/或 Windows NT SAM 属性下拉菜单中选择等同属性。
完成后，单击“确定”。
要指定附加属性，请重复步骤 2 至步骤 4。

完成后的“已同步属性”表看起来可能类似下面的示例，其中显示出 Directory Server 属性 userpassword、cn 和 telephonenumber 分别被映射至 Active Directory 属性 unicodepwd、cn 和 telephonenumber。

图 4-31 完成的已同步属性表

注意	指定全局目录后，程序会自动将 inetOrgPerson 用作 Sun Java System Directory Server 的默认对象类并加载 Active Directory 模式。所以，除非要更改默认模式，否则不要使用“加载模式”按钮。 如果要更改默认模式源，请参阅更改模式源以获取有关说明。

创建参数化默认属性值

Identity Synchronization for Windows 允许使用其它创建或重要属性为属性创建参数化默认值。

要创建参数化默认属性值，请在表达式字符串中插入现有创建或重要属性名（前后加上百分号 (%<attribute_name>%)）。例如，homedir=/home/%uid% 或 cn=%givenName% %sn%。

创建这些属性值时：

可在创建表达式中使用多个属性 (cn=%givenName% %sn%)。
如果 A=%B%，则 B 只能有一个默认值。
引用时可使用反斜杠符号 (\)（例如，diskUsage=0\%）。
请勿使用有循环代换条件的表达式（例如，如果指定 description=%uid%，则不能使用 uid=%description%。）

更改模式源

程序将自动提供默认模式源，但允许您更改默认模式。

按照以下步骤更改默认模式源：

单击“定义重要属性映射”对话框上的“加载模式”按钮。

将显示“选择模式源”面板（图 4-32）。

图 4-32 选择模式源



使用此面板指定希望从哪个 Sun Java System Directory Server 模式服务器读取模式。此模式含有系统上可用的对象类，对象类定义哪些属性对系统上的用户可用。

默认情况下，程序将配置目录添加至“Sun Java System Directory 模式服务器”字段。

要选择不同的服务器，请单击“选择”按钮。

将显示“选择 Sun 模式主机”对话框。此对话框包含一个配置目录列表，其中汇集了有关目录源的管理信息。

从此对话框，可以：

创建新配置目录并将其添加到列表中。

单击“新建”，出现“新建配置目录”对话框后，指定“主机”、“端口”、“用户 DN”和“密码”。完成后，单击“确定”。

编辑现有目录。

单击“编辑”，出现“编辑配置目录”对话框后，可以更改“主机”、“端口”、“用户 DN”和/或“密码”。完成后，单击“确定”。

从列表中删除目录。

从列表中选择一个目录名，然后单击“删除”按钮。

从列表中选择一个服务器，并在完成后单击“确定”。（一般来说，最好选择 Sun 同步主机中的一台主机作为模式源。）
单击“下一步”按钮，将显示“选择结构对象类和辅助对象类”面板（图 4-33）。

图 4-33 选择结构对象类和辅助对象类



使用此面板指定要同步的对象类，如下所述：

结构对象类：从选定的 Directory Server 创建或同步的每个条目都必须至少含有一个结构对象类。
辅助对象类：这些对象类扩充了选定的结构类，并提供了用于同步的附加属性。

要指定结构和辅助对象类：

从下拉列表中选择一个结构对象类。（默认值为 inetorgperson。）
从“可用辅助对象类”列表窗格中选择一个或多个对象类，然后单击“添加”将选择的对象类移至“选定辅助对象类”列表窗格中。

选定的对象类决定可选择哪些 Directory Server 源属性作为重要属性或创建属性。这些对象类还决定强制创建属性。

要从“选定辅助对象类”列表中删除选择的对象类，请单击对象类名称，然后单击“删除”按钮。

完成后，单击“完成”，程序将载入模式和选定的对象类。

---

在系统间传播用户属性

在创建和映射要同步的用户属性后，必须告诉 Identity Synchronization for Windows 如何在 Sun 和 Windows 系统间传播（流动）属性创建、修改和删除。

默认情况下，Identity Synchronization for Windows

仅执行从 Windows 到 Sun Java System Directory Server 的同步
仅同步密码属性（除非在上一节中指定了重要属性）
不同步条目创建或删除。

本节说明如何配置系统间的属性同步。内容具体安排如下：

指定对象创建如何流动
指定对象修改如何流动
指定删除如何流动

指定对象创建如何流动

执行以下步骤可以指定对象创建如何在 Directory Server 和 Active Directory 系统间流动：

单击“对象创建”选项卡。

图 4-34 选择和传播创建



可以启用或禁用创建的流动，如下所述：
启用“对象创建从 Sun Java System Directory Server 流向 Windows”可以将创建从 Directory Server 环境传播至 Windows 服务器。
启用“对象创建从 Windows 流向 Sun Java System Directory Server”可以将创建从 Windows 环境传播至 Directory Server。
同时启用上述两个选项可以实现双向流动。
同时禁用上述两个选项可以阻止用户创建从一个系统传播到另一个系统。（默认）
要添加、编辑或删除要在系统间同步的创建属性，请单击选定选项下的“创建属性”按钮。

将显示“创建属性映射和值”对话框（参见图 4-35 和图 4-36）。

图 4-35 创建属性映射和值：Directory Server 到 Windows



图 4-36 创建属性映射和值：Windows 到 Directory Server



可使用任一对话框进行以下操作：

指定新的创建属性（详细信息...）

注意	为满足有关用户对象类所需属性的模式约束，有必要指定用户创建期间要在系统中流动的其它属性。 如果将所需属性指定为修改属性则无需指定其它属性（如选择和映射用户属性中所述）。

编辑现有属性（请参阅（详细信息...））
删除现有属性（请参阅（详细信息...））

指定新的创建属性

以下说明介绍如何添加和映射从 Active Directory 流向 Directory Server 的创建属性。（从 Directory Server 流向 Windows 的创建属性与从 Windows 流向 Directory Server 的创建属性的添加和映射步骤相似。）

单击“创建属性映射和值”对话框中的“新建”按钮。

将显示“定义创建属性映射和值”对话框（图 4-37）。

图 4-37 定义创建属性映射和值



从 Active Directory 属性下拉列表中选择某个属性值。

图 4-38 选择新的 Active Directory 属性



Identity Synchronization for Windows 允许使用多个值初始化一个属性（如果该属性本身接受多个值）。

例如，如果贵公司有三个传真电话号码，您可以为 Sun Java System Directory Server 和 Active Directory 同时设置 facsilimiletelephonenumber 属性，并为该属性指定三个号码。

必须知道哪些属性能接受多个值。如果尝试将多个值添加到不接受这些值的某个属性中，则在程序试图创建该对象的运行时期间，会出现错误。

在“新值”字段中输入一个值，然后单击“添加”。

程序将该属性值添加至列表窗格中。根据需要重复执行此步骤，以添加多个属性值。

图 4-39 为创建属性指定多个值



要将该属性映射到 Directory Server，请从 Directory Server 属性下拉列表中选择一个属性名称。

图 4-40 映射 Directory Server 属性



完成后，单击“确定”。

根据示例，完成的“创建属性和映射”表应类似下图中的一个表：

图 4-41 完成的“创建属性和映射”表



要指定附加属性，请重复上述步骤。

编辑现有属性

要编辑创建属性的任何映射或值

选择“对象创建”选项卡，然后单击选定创建选项下的“创建属性”按钮。
出现“创建映射和值”对话框后，从表中选择属性，然后单击“编辑”按钮。

将显示“定义创建映射和值”对话框。

使用下拉菜单更改 Directory Server 和 Active Directory（或 Windows NT）间的现有映射。

例如，如果已将 Sun Java System Directory Server 的 homephone 属性映射至 Active Directory 的 othertelephone 属性。可使用 Active Directory 属性下拉列表将映射更改为 homephone。

还可以添加或删除属性值：
要添加值，请在“新值”字段中输入相应信息，然后单击“添加”。
要删除值，请从列表窗格中选择值，然后单击“删除”。
完成后，单击“确定”应用更改，并关闭“定义创建映射和值”对话框。
再次单击“确定”关闭“创建映射和属性”对话框。

删除属性

要删除创建属性映射或值

选择“对象创建”选项卡，然后单击选定创建选项下的“创建属性”按钮。
出现“创建映射和值”对话框后，从表中选择属性，然后单击“删除”按钮。

该属性立即被从表中删除。

完成后，单击“确定”关闭“创建映射和属性”对话框。

指定对象修改如何流动

使用“属性修改”选项卡（图 4-42）控制对用户属性和密码进行的修改如何在 Sun 和 Windows 系统间传播（流动）。

图 4-42 属性修改选项卡

使用此选项卡可进行以下配置：

指定修改在 Directory Server 和 Windows 目录源间的流动方向。
控制是否在 Directory Server 和 Active Directory 目录源间同步对象激活和禁用（Active Directory 上的启用和禁用），并指定激活和禁用用户帐户的方法。

注意	不能与 Windows NT 目录源同步帐户状态。

指定方向

选择以下按钮之一可控制在 Directory Server 和 Windows 环境下进行的更改如何在系统间传播。

属性修改从 Sun Java System Directory Server 流向 Windows：将在 Directory Server 环境中进行的修改传播至 Windows 服务器。
属性修改从 Windows 流向 Sun Java System Directory Server（默认）：将在 Windows 环境中进行的更改传播至 Directory Server。
属性修改双向流动：双向传播更改（从一个环境至另一个环境）。

配置和同步对象激活和禁用

如果启用“与 Active Directory 同步对象激活/禁用”框（参见图 4-43），可在 Directory Server 和 Active Directory 目录源之间同步对象激活和禁用（称为在 Active Directory 中启用和禁用 ）。

注意	不能与 Windows NT 目录源同步激活和禁用。

图 4-43 同步对象激活和禁用

要同步对象激活/禁用：

启用“在 Directory Server 和 Active Directory 间同步对象禁用”框。
启用以下按钮之一可指定 Identity Synchronization for Windows 检测和同步对象激活和禁用的方法：
与 Directory Server 工具交互操作（请参阅（详细信息...））
直接修改 Directory Server 的 nsAcountlock 属性（请参阅（详细信息...））
为 Directory Server 使用自定义方法（请参阅（详细信息...））

注意	这些选项互斥。 启用“与 Directory Server 工具交互操作”选项，则 Identity Synchronization for Windows 无法直接设置或删除 nsAccountLock 属性。另外，该程序无法检测已经使用其它角色（如 cn=nsdisabledrole、<database suffix>）或嵌套在其它角色中的角色（如 cn=nsdisabledrole, <database suffix> 或 cn=nsmanageddisabledrole, <database suffix>）禁用的对象。 如果启用“修改 Directory Server 的 nsAccountLock 属性”选项，则 Identity Synchronization for Windows 将不检测使用“Directory Server 控制台”或命令行实用程序激活/禁用的对象。 如果启用“对 Directory Server 使用自定义方法”选项，则 Identity Synchronization for Windows 无法锁定目录外的对象，除非对该目录的访问是通过外部应用程序（如 Sun Java™ System Access Manager，原来称为 Sun JES Identity Server）控制的。

与 Directory Server 工具交互操作

如果使用“Directory Server 控制台”或命令行工具激活/禁用某个对象，则可选择此选项。

为激活对象，Identity Synchronization for Windows 会从 nsroledn 属性中将 cn=nsmanageddisabledrole,<database suffix> 值删除。
为禁用对象，Identity Synchronization for Windows 会将 cn=nsmanageddisabledrole,<database suffix> 值添加到 nsroledn 属性中。

注意	如果启用“与 Directory Server 工具交互操作”选项，则 Identity Synchronization for Windows 无法直接设置或删除 nsAccountLock 属性。另外，Identity Synchronization for Windows 无法检测已使用其它角色禁用的对象。 例如，cn=nsdisabledrole, <database suffix> 或嵌套在其它角色中的角色，如 cn=nsdisabledrole, <database suffix> 或 cn=nsmanageddisabledrole, <database suffix>。

表 4-1 说明启用“与 Directory Server 工具交互操作”选项后，Identity Synchronization for Windows 如何检测和同步对象激活/禁用：

表 4-1 与 Directory Server 工具交互操作

激活	禁用
仅当从对象中删除 cn=nsmanageddisabledrole,<database suffix> 角色后，Identity Synchronization for Windows 才检测激活。	仅当条目的 nsroledn 属性包括 cn=nsmanageddisabledrole,<database suffix> 角色时，Identity Synchronization for Windows 才检测禁用。
从 Active Directory 同步对象激活时，Identity Synchronization for Windows 将通过从对象中删除 cn=nsmanageddisabledrole,<database suffix> 角色来激活对象。	从 Active Directory 同步对象禁用时，Identity Synchronization for Windows 会通过将 cn=nsmanageddisabledrole,<database suffix> 角色添加到对象中来禁用对象。

直接修改 Directory Server 的 NsAccountLock 属性

如果 Directory Server 激活和禁用是基于 Directory Server 的操作属性 nsAccountLock，则使用此方法。此属性按以下方式控制对象状态：

如果 nsAccountLock=true，则对象被禁用且用户无法登录。
如果 nsAccountLock=false（或无值），则对象被激活。

表 4-2 说明启用“直接修改 Directory Server 的 nsAccountLock 属性”选项后，Identity Synchronization for Windows 如何检测和同步对象激活/禁用：

表 4-2 直接修改 Directory Server 的 nsAccountLock 属性

激活	禁用
Identity Synchronization for Windows 仅在将 nsAccountLock 属性设置为 true 时才会检测禁用的对象。	Identity Synchronization for Windows 仅在没有 nsAccountLock 属性或其值被设置为 false 时才检测激活的对象。
从 Active Directory 同步对象禁用时，Identity Synchronization for Windows 会删除 nsAccountLock 属性。	从 Active Directory 同步对象激活时，Identity Synchronization for Windows 会将 nsAccountLock 属性设置为 true。

对 Directory Server 使用自定义方法

如果 Directory Server 激活和禁用是通过外部应用程序（如 Sun Java™ System Access Manager，原名 Sun JES Identity Server）专门控制的，请使用此方法。

为 Directory Server 配置自定义方法时，必须指定：

Identity Synchronization for Windows 如何检测外部应用程序是否已激活或禁用 Directory Server 中的某个对象
从 Active Directory 同步到 Directory Server 时，Identity Synchronization for Windows 如何激活或禁用对象

注意	如果启用“对 Directory Server 使用自定义方法”选项，则 Identity Synchronization for Windows 无法锁定目录外的对象，除非对该目录的访问是通过外部应用程序（如 Access Manager）控制的。

要为激活和禁用配置“自定义”方法，请单击“配置”按钮，将会显示“为 Directory Server 配置自定义方法”对话框（参见图 4-44）。

图 4-44 为激活和禁用配置自定义方法

此对话框包含以下功能：

激活状态属性下拉列表：使用此列表可指定 Identity Synchronization for Windows 用来在 Directory Server 和 Active Directory 间同步激活和禁用的属性。

该列表包含用于当前选定 Directory Server 结构和辅助对象类模式中的所有属性。

值和状态表：使用此表可指定何时激活或禁用与选定属性相关的值。
值列：使用此列（与“新建”和“删除”按钮联用）可指定用于指示活动或非活动状态的属性值。

程序会在此列中自动提供两个值：

无值：其中，处于“已激活”状态的属性不含有值。
所有其它值：其中的“已激活”状态属性有一个值，但该值未在此“值和状态”表中指定。
状态列：使用此列可指定是激活还是禁用了与某个对象相对应的“值”条目（位于同一行中）。

表 4-3 指定已激活和已去活状态

值	状态	结果
无值	已激活	如果缺少属性或者没有值，Identity Synchronization for Windows 会将对象检测为已激活。
	已去活	如果缺少属性或者没有值，Identity Synchronization for Windows 会将对象检测为已去活。
<用户自定义>值	已激活	如果属性有 <用户自定义> 属性，Identity Synchronization for Windows 会将对象检测为已激活。
	已去活	如果属性有用户自定义属性，Identity Synchronization for Windows 会将对象检测为已去活。
所有其它值	已激活	如果属性具有值，但该值未在表中指定，Identity Synchronization for Windows 会将对象检测为已激活。
	已去活	如果属性具有值，但该值未在表中指定，Identity Synchronization for Windows 会将对象检测为已去活。

“新建”按钮：单击此按钮可将新条目添加到“值”列中。
“删除”按钮：在“值”列中选择某个条目，然后单击此按钮可删除该条目。
“已激活值”和“已禁用值”下拉列表：使用这两个列表可指定 Identity Synchronization for Windows 用来设置对象状态的值。

同步激活和禁用    

使用以下步骤可将 Identity Synchronization for Windows 配置为在 Directory Server 和 Active Directory 间检测和同步对象状态：

从“激活状态属性”下拉列表中选择某个属性。
单击“新建”按钮将属性值添加到表的“值”列中。
单击每个“值”条目旁的“状态”列，显示下拉列表后，选择“已激活”或“已去活”。

图 4-45 选择状态

例如，如果使用 Access Manager：

从“激活状态属性”下拉列表中选择 inetuserstatus 属性。
单击“新建”按钮并在表的“值”列中输入活动的、非活动和已删除属性值。
在“状态”列中单击并为每个值选择“已激活”或“已禁用”，具体如下：
无值：已激活
活动的：已激活
非活动：已禁用
已删除：已禁用
所有其它值：已禁用

表 4-4 以此示例为基础，介绍了启用“对 Directory Server 使用自定义方法”选项后，Identity Synchronization for Windows 如何检测和同步激活/禁用（使用 inetuserstatus 示例）。

表 4-4 使用 inetuserstatus 值的示例结果

值	状态	结果
无值	已激活	如果缺少 inetuserstatus 属性或者它没有值，则 Identity Synchronization for Windows 会将对象检测为已激活。
活动的	已激活	如果属性为活动的，则 Identity Synchronization for Windows 会将对象检测为已激活。
非活动	已禁用	如果属性值为非活动，则 Identity Synchronization for Windows 会将对象检测为已禁用。
已删除	已禁用	如果属性值为已删除，则 Identity Synchronization for Windows 会将对象检测为已禁用。
所有其它值	已禁用	如果属性具有值，但该值未在表中指定，Identity Synchronization for Windows 会将对象检测为已禁用。

设置激活和禁用    

用条目内容填充“值”和“状态”表时，Identity Synchronization for Windows 会自动填充已激活值和已禁用值下拉列表，具体如下：

“已激活值”列表包含所有状态为“已激活”的值（例如无值和活动的）。
“已禁用值”列表包含所有状态为“已禁用”的值（例如非活动和已删除）。
这两个列表中均不包含值“所有其它值”。

从“已激活值”和/或“已禁用值”下拉列表选择一个值，以指定从 Active Directory 同步时 Identity Synchronization for Windows 如何激活和/或禁用对象。

已激活值：控制对象的活动状态。
无值：如果对象包含活动的值，则 Identity Synchronization for Windows 会在 Directory Server 中将状态设置为已激活。
活动的：如果对象包含活动的值，则 Identity Synchronization for Windows 会在 Directory Server 中将状态设置为已激活。
已禁用值：控制对象的活动状态。
非活动或已删除：Identity Synchronization for Windows 会在 Directory Server 中将对象状态设置为非活动。
<无>：不是有效设置。必须选择一个值。

注意	必须指定“已禁用值”，否则配置将无效。

图 4-46 显示了已完成的“为 Directory Server 配置自定义方法”对话框。

图 4-46 示例：已完成的对话框

指定删除如何流动

使用“对象删除”选项卡指定删除的用户条目应如何在 Directory Server 和 Active Directory 系统间流动。

注意	不能为 Windows NT 指定“对象删除”流动。

选择导航窗格顶部的 Identity Synchronization for Windows 节点，然后单击“对象删除”选项卡。

图 4-47 传播用户条目删除



启用或禁用删除的流动，如下所述：
启用对象删除从 Sun Java System Directory Server 流向 Active Directory 可以将删除从 Directory Server 环境传播至 Active Directory 服务器。
启用对象删除从 Active Directory 流向 Sun Java System Directory Server 可以将删除从 Active Directory 环境传播至 Directory Server。
同时启用上述两个选项可以实现双向流动。
同时禁用上述两个选项可以阻止用户删除从一个系统传播到另一个系统。（默认设置）

---

创建同步用户列表

“同步用户列表”(SUL) 指定两个目录源中的哪些用户将被同步。SUL 中的每个条目都要通过“连接器”，并针对为该 SUL 配置的限制条件进行评估。

每个 SUL 包含两个元素，一个用于确定要同步的 Directory Server 用户，一个用于确定要同步的 Windows 用户。

注意	如果要同步 Directory Server 中有多个 Active Directory 域的用户，必须为每个 Active Directory 域定义一个 SUL。 有关定义和配置 SUL（包括定义的组件、如何定义多个 SUL、如何处理多个 SUL 以及如何配置多个 Windows 域支持）的详细信息，请参阅附录 D，“定义和配置同步用户列表”。

SUL 的以上两个元素都含有三个定义，可确定要同步的用户：

基本 DN：将被同步的用户的位置（不适用于 NT）
命名属性：用于新建的用户的属性（创建表达式）（不适用于 NT）
过滤器：将指定用户排除在同步范围之外

要在服务器间标识和链接用户类型：

选择导航树中的“同步用户列表”节点，然后单击“新建同步用户列表”按钮。

图 4-48 创建新的同步用户列表



将显示“定义同步用户列表”向导，如下所示：

图 4-49 指定 SUL 的名称



程序将第一个“同步用户列表”默认为 SUL1。

如果默认名可接受，请单击“下一步”。
如果要使用不同的名称，请在“名称”字段中键入不同的名称，然后单击“下一步”。

注意	不要在 SUL 名称中使用空格或任何标点符号。 必须指定在系统内唯一的名称。

将显示如图 4-50 中所示的“Windows 条件”面板。

图 4-50 指定 Windows 条件



从下拉列表中选择“Windows 目录源”。

注意	创建 SUL 后不能再编辑此目录源。

用户设置域是要同步的所有用户的设置。使用以下方法之一输入“用户设置域”的“基本 DN”：
将名称键入文本字段中（例如 DC=example,DC=com）。
单击“浏览”按钮打开“设置基本 DN”对话框，以便可以查找和选择一个“基本 DN”。

图 4-51 选择基本 DN



除非使用过滤器明确地将用户排除在此 SUL 以外，否则位于该指定的“基本 DN”下的所有用户都将包括在此 SUL 中。

注意	Windows NT 系统不允许使用“基本 DN”和创建表达式。

可以输入一个等同、存在或子字符串“过滤器”，以指定此基本 DN 中的哪些用户将被同步。例如，如果对多个同步用户列表使用相同的基本 DN，则可能需要使用过滤器区分它们。

等同过滤器语法类似于 LDAP 查询语法，只是等同字符串仅允许使用 *、&、|、=、! 字符。例如，可以使用以下过滤器将管理员从 SUL 中排除：

(!(cn=Administrator))

程序将自动填写“创建表达式”字段。

注意	创建表达式定义新条目从 Active Directory 传播至 Directory Server 时使用的父 DN 和命名属性。 创建表达式不适用于 Sun 目录，除非已将用户属性创建配置为从 Active Directory 流向 Directory Server（请参阅指定对象创建如何流动）。

如果缺少创建表达式，或者要更改现有条目，可以为所有的 Windows Active Directory 同步用户列表输入一个创建表达式；例如：

cn=%cn%,cl=users,dc=example,dc=com

如果要更改创建表达式，必须选择一个要同步的属性。如果需要，可以返回到“对象创建”选项卡，并使用“创建属性”按钮添加和映射此属性。

单击“下一步”指定 Sun Java System Directory Server 条件。
出现“指定 Sun Java System Directory Server 条件”面板后，重复步骤 2 至步骤 5，以提供 Directory Server 条件。

图 4-52 指定 Directory Server 条件



注意	单击“完成”按钮创建 SUL 后，不能再编辑此 SUL 中所包括的 Active Directory 或 Directory Server 目录源。

完成后，单击“完成”。
程序会将新的 SUL 节点添加至导航树，并且“配置”选项卡上将显示“同步用户列表”面板。

图 4-53 同步列表面板



在一个用户与多个列表匹配的情况下，单击“解决域交叉”按钮定义同步用户列表的首选项。（有关详细信息，请参阅了解同步用户列表定义。）
创建一个包括网络中除 Directory Server 以外所有目录源的“同步用户列表”。

---

保存配置

从任意“控制台”面板保存当前配置

单击“保存”可以存储当前的设置。
当程序检查配置设置时，将显示“配置有效性状态”窗口。

图 4-54 配置有效性状态窗口



保存配置可能需要几分钟时间，因为程序要将信息重新写入配置目录，并通知系统管理器。

系统管理器（核心组件之一）负责将配置设置分发到需要该信息的各组件中。

注意	配置有效性错误以红色显示，警告以黄色显示。 不能保存含有错误的配置。 可以保存含有警告的配置，但最好先尝试清除警告。

如果配置有效，则单击“继续”保存该配置。

将出现“连接器安装说明”对话框（类似于图 4-55 中的列表），提供如何继续安装 Identity Synchronization for Windows 连接器和子组件的说明。

此列表现在已用针对部署而自定义的“待执行”列表更新。（至此所介绍的均为常用步骤。） 请注意，您也可从“Identity Synchronization for Windows 控制台”的“状态”选项卡访问和更新“待执行”列表。

图 4-55 连接器安装说明



请仔细阅读该信息，然后单击“确定”。

完成“核心”初始配置后，就可以安装 Identity Synchronization for Windows 连接器和子组件了。有关说明，请继续阅读第 5 章，“安装连接器和 Directory Server 插件”。

上一页      目录      索引      下一页

---

文件号码：817-7848。 版权所有 2004 Sun Microsystems, Inc. 保留所有权利。