|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 | |
第 6 章
同步现有用户Identity Synchronization for Windows 命令行实用程序提供 idsync resync 子命令,以引导包含现有用户的部署。此命令使用由管理员指定的匹配规则链接现有条目、在空目录中填充远程目录内容,或者在两个现有用户群体之间批量同步属性值(包括密码)。
本章说明如何使用 idsync resync 子命令为新安装的 Identity Synchronization for Windows 链接和同步现有用户。另外,本章还提供有关启动和停止同步和服务的说明。内容具体安排如下:
注意
在尝试链接和同步现有用户前,必须完成“核心”和“连接器”的安装。
有关 idsync resync 子命令的详细信息,请参阅附录 A,“使用 Identity Synchronization for Windows 命令行实用程序”。
表 6-1 基于现有用户群体概述了安装后所要执行的步骤:
使用 idsync resync本节讲述链接和同步过程,说明使用 idsync resync 子命令的正确语法,并阐述如何验证上述过程是否成功完成。内容具体安排如下:
重新同步用户
可以使用 idsync resync 命令链接现有条目、创建用户和同步两个目录源中的用户属性。特别是,可以使用 idsync resync 命令:
- 将现有 Active Directory 或 Windows NT SAM 域用户填充到空 Directory Server 中
- 链接所有用户,然后同步两个现有目录源中的所有用户条目属性值(密码除外)
- 当两个目录源不同步时,同步用户条目。
- “预先准备好”Active Directory 和 Windows NT SAM 连接器对象高速缓存数据库。该数据库保留 Active Directory 或 Windows NT SAM 用户条目的隐式副本。
不能使用 idsync resync 命令同步密码(但可以使 Directory Server 密码失效,从而在 Active Directory 环境中强制执行即时请求密码同步)。
链接用户
在 Active Directory 和 Directory Server 中填充用户并安装 Active Directory 和 Directory Server 连接器后(在启动同步前),必须使用 idsync resync 命令确保链接了上述两个目录源中的所有现有用户。
何谓链接?Identity Synchronization for Windows 通过存储以下唯一且不变的标识符使 Directory Server 和 on Windows 中的相同用户发生关联。
存储此不可变的标识符可以使 Identity Synchronization for Windows 同步其它关键标识符,如 uid 和 cn。在以下情况下填充 dspswuserlink 属性:
要链接现有用户,必须提供在两个目录间匹配用户的规则。例如,要链接两个目录中的某个用户条目,这两个目录条目中的名和姓必须匹配。
与其说链接用户条目和解决数据冲突是一门学问,倒不如说是一种技巧。有多种原因可以说明为什么使用 idsync resync 子命令可能导致链接相对目录源中的两个用户失败,以及为什么该命令在很大程度上取决于这两个链接目录中的数据一致性。
使用 idsync resync 的一个策略是使用 -n 参数,这样可以在“安全模式”下运行该操作,从而可以在不做实际更改的情况下,预览操作的效果。以安全模式运行可以使您对链接条件进行渐进式调整,直到获得一套最佳的用户匹配条件。
但是,应该注意在链接准确性和链接覆盖率之间找到一个平衡点。
例如,如果两个目录源中均包含员工 ID 或社会保障号,则应该先从只含有该号码的链接条件开始。您可能会觉得为了提高链接的准确性,还应在条件中包括姓氏属性。可是,这样一来,您就可能会因为数据中姓氏值不一致而无法链接本来只要 ID 匹配即可链接的条目。您不得不对链接失败的条目执行一次数据清理过程。
idsync resync 参数
idsync resync 命令接受以下参数:
表 6-2 idsync resync 用法
参数
含义
-f <filename>
使用 Identity Synchronization for Windows 提供的指定 XML 配置 文件之一在未链接的用户条目之间创建链接
(请参阅附录 B,“LinkUsers XML 文档范例”)-k
仅在未链接用户间创建链接(不能创建用户或修改现有 用户)。必须将此参数与 -f 参数结合起来使用。
-a <ldap-filter>
指定一个 LDAP 过滤器来限制要同步的条目
此过滤器将被用作重新同步操作的源。
例如,如果指定 idsync resync -o Sun -a “usid=*”,则具有 uid 属性的所有 Directory Server 用户将被同步到 Active Directory。-l <sul-to-sync>
指定要重新同步的各个“同步用户列表”(SUL)。
注意:可指定多个 SUL ID 以重新同步多个 SUL,如果不指定任何 SUL ID,程序将重新同步您的所有 SUL。
-o (Sun | Windows)
指定重新同步操作的源
(默认为 Windows。)
-c
如果在目标处未找到相应用户,则自动创建用户条目
注意:即使未配置按该方向创建,Identity Synchronization for Windows 也会尝试创建用户。例如,如果您未将 Identity Synchronization for Windows 配置为从 Windows 同步到 Sun(或相反),但指定了 -c 参数,则 Identity Synchronization for Windows 会尝试创建未找到的用户。
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)
重设在 Sun 目录源中同步的用户条目的密码,从而对下次需要提供用户密码的用户强制执行当前域内的密码同步。
有关上述选项如何影响密码验证的详细信息,请参阅表 6-3。
-u
更新对象高速缓存。
该参数仅为 Windows 目录源更新用户条目的本地高速缓存,这将防止在 Directory Server 中创建已经存在的 Windows 用户。如果使用此参数,则不会将 Windows 用户条目与 Directory Server 用户条目同步。仅当同步源为 Windows 时,此参数才有效。
-x
删除所有与源条目不匹配的目标用户条目。
-n
在安全模式下运行,这样您便可以预览某个操作的效果而不进行实际更改。
表 6-4 提供的示例说明了不同参数联合使用的结果(–h、-p、-D、-w、- 和 -s 为默认参数,为简便起见,将其省略)。
警告
当使用 idsync resync 链接用户时,应对该操作使用已创建索引的属性。未创建索引的属性会影响性能。
如果 UserMatchingCriteria 集中有多个属性,并且至少有一个属性已创建索引,则性能或许是可接受的。但是,如果 UserMatchingCriteria 中不含已创建索引的属性,则由于目录较大的而使得性能不可接受。
查看中心日志中的结果所有 idsync resync 操作的结果都记录在一个名为 resync.log 的特殊中心日志中。此日志将列出所有正确链接和同步的用户、链接失败的用户以及先前已链接的用户。
启动和停止同步启动和停止同步不会启动或停止单个的 java 进程、守护进程或服务。一旦开始同步,停止同步只能使操作暂停。当重新启动同步时,程序会从其停止处继续同步,不会丢失任何更改。
要启动或停止同步:
- 在“Sun Java System Server Console 的导航窗格中,选择 Identity Synchronization for Windows 实例。
- 当显示 Identity Synchronization for Windows 窗格时,单击右上角的“打开”按钮。
- 当出现提示时,输入配置密码。
- 选择“任务”选项卡(图 6-1):
图 6-1 启动和停止同步
- 要启动同步,请单击“开始同步”。
- 要停止同步,请单击“停止同步”。
注意
也可以使用 idsync startsync 和 idsync stopsync 命令行实用程序启动和停止同步。有关详细说明,请参阅使用 startsync 和使用 stopsync。
启动和停止服务Identity Synchronization for Windows 和 Message Queue 在 Solaris 上作为守护进程安装,在 Windows 上作为服务安装。上述进程在引导系统时自动启动,但也可以执行以下步骤手动启动和停止它们:
