|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安装和配置指南 | |
术语
下面是 Identity Synchronization for Windows 产品和本套文档中使用的术语。安全套接字层 请参阅SSL。
绑定 DN 执行某项操作时,用于对 LDAP 目录(如 Active Directory 或 Directory Server)进行验证的识别名。
绑定识别名 请参阅绑定 DN。
备用目录服务器 在 MMR 环境中的目录服务器主机实例,当首选目录服务器不可用时,Identity Synchronization for Windows 可以使用备用目录服务器。当首选目录服务器不可用时,Identity Synchronization for Windows 可以将 Active Directory 或 Windows NT 中的更改同步到备用目录服务器,但是在备用服务器或任何其它目录服务器主机上的更改则只有在首选目录服务器可用时才能同步。
CA 请参阅证书授权机构。
CLI 请参阅命令行界面。
操作 单个同步事件的封装。Identity Synchronization for Windows 连接器使用操作传达用户更改事件。每个操作包括一个类型(如 CREATE、MODIFY 或 DELETE)以及来自用户条目的充足属性,以使目标连接器可以同步更改。所有操作都是最基本的处理。
层叠复制 在层叠复制方案中,对于特定副本,一台服务器(通常称为集线器提供者)既充当用户又充当提供者。该服务器保存只读副本,并保留更改日志。它从存储数据主副本的提供者服务器接收更新,然后将这些更新提供给用户。
例如,Identity Synchronization for Windows 使用 Directory Server 插件来增强 Directory Server Connector 的更改检测功能,并对 Active Directory 与 Directory Server 之间的密码同步提供双向支持。
超级用户 请参阅根用户。
出站 在连接器内,从 Message Queue 向目录源流动的操作方向。由连接器应用的更改按出站方向流动到同步的目录源。关于操作的日志信息经常涉及发生在连接器出站端的事件。
创建属性 仅当创建对象时才同步的属性。所有重要属性都在创建对象时自动同步。可以为在远程目录中没有对应属性值的创建属性配置默认值。
存取程序 一个通过诸如 LDAP 等协议与目录源直接接口的连接器层。Identity Synchronization for Windows 对 Directory Server、Active Directory 和 Windows NT 执行相互独立的存取程序。关于操作的日志消息经常涉及存取程序。
DIT 请参阅目录信息树。
DM 请参阅目录管理员。
DNS 域名系统。网络中的计算机用来将标准 IP 地址(如 198.93.93.10)与主机名(如 www.example.com)相关联的系统。计算机通常从 DNS 服务器上获得主机名的 IP 地址,或从所在系统维护的表格中查找该地址。
代理 一种连接器组件,它与 Message Queue 连接,并在属性的 Directory Server 名称和 Windows 名称间转换属性。关于操作的日志消息经常涉及代理。
代理程序 请参阅 Sun Java System Message Queue 代理程序。
对象高速缓存 Windows 连接器用来检测用户条目更改的处理中的数据库。对象高速缓存存储每个用户条目的散列摘要,该摘要使 Windows 连接器可以确定用户条目中被修改的具体属性。
对象类 一种模板,用于指定条目描述的对象种类及条目包含的有效和强制属性集合。例如,Directory Server 指定一个含有诸如 cn 和 userpassword 属性的 inetorgperson 对象类。即时请求密码同步:一种机制,在该机制下,用户在 Directory Server 中的密码直到该用户尝试进行 Directory Server 登录验证时才被更新。仅当提供的密码与存储在 Active Directory 中的密码匹配时才同步用户密码。此机制简化了 Active Directory 环境中的密码同步。
多主复制 一种目录服务器复制模型,在该模型中,条目无需在执行写入或更新前与其它主机副本通信,就可以对多个主机副本中的任何副本执行写入或更新操作。在一台服务器上进行的更改会自动复制到其它服务器上。Identity Synchronization for Windows 可以安装到含有多个目录服务器主机的部署中。但是,当将更改同步到 Windows 时,首选目录服务器必须是可用的,而当从 Windows 同步更改时,首选或备用服务器之一必须是可用的。
FSMO 角色 “灵活单主机操作”角色。Active Directory 用来防止在多主机部署中发生更新冲突的机制。即使是多主服务器部署,有些对象也以单主服务器模式更新。这与过去 Windows NT 域中的“主域控制器”(PDC) 概念很相似。在 Active Directory 部署中有五个 FSMO 角色,但只有 PDC 仿真器角色影响 Identity Synchronization for Windows。因为密码更新仅会立即复制到带有 PDC 仿真器角色的 Active Directory 域控制器,所以 Identity Synchronization for Windows 使用此域控制器进行同步。否则,与 Sun Java System Directory Server 的同步可能会延迟数分钟。
服务 Windows 计算机上负责特定系统任务的后台进程。服务进程可连续运行而无需人为干预。在 Windows 上,连接器、系统管理器和中心记录器作为由 Identity Synchronization for Windows 监视器服务启动和监视的进程而运行。
服务器根 服务器上专用于存储服务器程序配置、维护和信息文件的目录。
辅助对象类 对选定结构类进行扩充的对象类,它提供了同步的附加属性。请参阅结构对象类。
根后缀 一个或多个 LDAP 子后缀的父项。一个目录树可包含多个根后缀。
根用户 UNIX 计算机上可用的具有最高权限的用户(也称为超级用户)。根用户拥有对计算机上所有文件的完全访问权限。在 Solaris 系统上,Identity Synchronization for Windows 必须作为根用户安装。
核心 安装的第一个 Identity Synchronization for Windows 组件。“核心”包括存储在配置目录中的初始配置、系统管理器、中心记录器、控制台和命令行界面。
后缀 位于目录树顶端的条目的名称,数据即存储在该条目下。同一目录中可能有多个后缀。每个数据库仅有一个后缀。
Identity Synchronization for Windows控制台 用于配置和监视 Identity Synchronization for Windows 的图形用户界面。
IP 地址 “Internet 协议”地址。一组由句点分隔的数字,用于指定 Internet 上的计算机的实际位置(例如,192.168.2.1)。
Java 消息服务 一种标准 API 消息,允许基于 Java 2 平台企业版 (J2EE) 的应用程序组件创建、发送、接收和读取消息。它可以实现松散耦合、可靠和异步的分布式通信。
JMS 请参阅 Java 消息服务。
基本 DN 基本识别名。搜索操作在基本 DN、条目的 DN 和目录树中所有在其下的条目上执行。对于 Active Directory 和 Directory Server,“同步用户列表”基于特定的基本 DN 而确立。除非使用某个过滤器将用户明确排除,否则将同步此基本 DN 下的所有用户。
基本识别名 请参阅基本 DN。
监视器 独立的 Java 进程,它安装在每个安装了“核心”或连接器的计算机上。“监视器”启动所有 Identity Synchronization for Windows Java 进程,包括系统管理器、中心记录器和连接器。如果上述任何组件发生故障,则“监视器”会重新启动它们。在 Solaris 上,“监视器”是通过 /etc/init.d/isw 守护进程脚本控制的,在 Windows 上,它是通过“Sun Java™ System Identity Synchronization for Windows”服务控制的。
结构对象类 条目的主对象类,用于定义 Identity Synchronization for Windows 同步的用户条目上的有效和强制属性集合。例如,默认的 Active Directory 对象类是 user,默认的 Directory Server 对象类是 inetorgperson。请参阅辅助对象类。
客户机 请参阅 LDAP 客户机。
控制器 与代理和存取程序组件连接的连接器组件。控制器执行与同步有关的关键任务,如确定用户在“同步用户列表”中的成员关系、搜索并链接等效用户条目、通过将当前用户条目与存储在对象高速缓存中的以前版本进行比较来检测对用户进行的更改等。关于操作的日志消息经常涉及控制器。
控制台 用于配置和监视服务器应用程序的图形用户界面。Sun Java System Directory Server 和 Identity Synchronization for Windows 具有相互独立的控制台。
LDAP 轻量级目录访问协议。专用于通过 TCP/IP 并跨多个平台运行的目录服务协议。Identity Synchronization for Windows 使用 LDAP 与 Active Directory 域控制器和 Sun Java System Directory Server 通信。
LDAP URL 提供使用 DNS 定位目录服务器,然后通过 LDAP 完成查询的方法。LDAP URL 的一个示例为 ldap://ldap.example.com
LDAP 客户机 用于从 LDAP Directory Server 请求和查看 LDAP 条目的软件。Identity Synchronization for Windows 连接器在连接到 LDAP 服务器时作为 LDAP 客户机使用。
连接器 管理 Identity Synchronization for Windows 与单独数据源(如 Directory Server、Active Directory 域或 Windows NT 域)交互的 Java 进程。连接器负责检测数据源中的用户更改,并通过 Message Queue 将这些更改发布到远程连接器,还负责订阅用户更改主题以及将来自这些主题的更新应用到数据源。
Message Queue 请参阅 Sun Java System Message Queue。
MMR 请参阅多主复制。
MQ 请参阅 Sun Java System Message Queue。
密码文件 UNIX 计算机上的一个文件,用于存储 UNIX 用户登录名称、密码和用户 ID。因其所处位置,它又称为 /etc/passwd。
命令行界面 程序和用户之间的通信方式,它的输入输出完全基于文本。命令通过键盘或类似设备输入,然后由程序解释和执行。Identity Synchronization for Windows 命令行界面称为 idsync,可以从安装了“核心”的 bin/ 目录获得。
命名上下文 (也称为根后缀)目录信息树 (DIT) 的特定后缀,由其识别名 (DN)(例如 dc=example、dc=com)标识。在 Identity Synchronization for Windows 中,Sun Java System Directory Server 的目录源由包含要同步的数据的后缀定义。
模式 用于描述哪些类型的信息可作为条目存储在目录中的定义。当与模式不匹配的信息存储在目录中时,试图访问该目录的客户机可能不能显示正确的结果。
模式检查 确保目录中添加或修改的条目与定义的模式相符。默认情况下模式检查为开启状态,如果用户试图保存与模式不相符的条目,将会出错。
目录管理员 获得授权的目录服务器管理员,相当于 UNIX 中的超级用户。Identity Synchronization for Windows 需要“目录管理员”证书才能执行某些配置操作,但是连接器进行同步不需要“目录管理员”证书。
目录信息树 存储在目录中的信息的逻辑表示。它镜像大多数文件系统采用的树模式,在这种模式中树根位于层次结构的顶部。
目录源 Sun Java System Directory Server、Windows Active Directory 域或 Windows NT 域。目录源含有要同步的用户。
配置密码 在安装“核心”过程中选择的密码,用于保护保存在配置目录中的所有 Identity Synchronization for Windows 敏感信息。在使用安装程序、控制台或命令行界面时必须提供配置密码。
配置目录 Directory Server 的特殊安装,作为配置和状态信息的信息库使用。Identity Synchronization for Windows 存储安装“核心”时选择的配置目录实例内的所有配置。
配置注册表 Identity Synchronization for Windows 用来表示配置目录的另一个术语。
轻量级目录访问协议 请参阅 LDAP。
全局目录 存储 Active Directory 目录拓扑和 Active Directory 目录模式信息的 Windows 信息库。
权限 在访问控制的上下文中,权限表明对目录信息进行的访问是被获准还是被拒绝,以及被获准或拒绝的访问的级别。
确认 确认从其它组件收到消息的专用消息。Identity Synchronization for Windows 在连接器和 Message Queue 之间以及各种连接器组件(代理、控制器和存取程序)之间使用确认,以确保所有更改都已可靠同步。
retro changelog Directory Server 数据库 (cn=changelog),用于存储对 Directory Server 进行的所有更改的记录。Identity Synchronization for Windows 使用 retro changelog 检测对 Directory Server 进行的更改。在 MMR 环境中,必须在“首选目录服务器”上启用 retro changelog。
入站 在连接器内,从目录源流向 Message Queue 的操作方向。连接器检测到的更改按入站方向流入系统。关于操作的日志信息经常涉及发生在连接器入站端的事件。
Server Console 基于 Java 的应用程序,允许通过 GUI 对 Directory Server 进行管理。
SSL 安全套接字层。用于在客户机和服务器双方之间建立安全连接的软件库。用于执行 HTTPS(HTTP 的安全版本)和 LDAPS(LFAP 的安全版本)。
SUL 请参阅同步用户列表。
Sun Java System Message Queue 执行 Java Message Service (JMS) 开放标准的企业消息系统。Message Queue 的基本体系结构由使用一般服务交换消息的发布者和订阅者组成。Sun Java System Message Queue 由专用的消息代理程序管理,该代理程序负责控制对 Message Queue 的访问、维护活动的发布者和订阅者信息以及确保消息的交付。Identity Synchronization for Windows 使用 Message Queue 安全地同步用户更改事件、分配配置信息和监视远程组件的运行状况。
Sun Java System Message Queue 代理程序 独立的 Java 服务器,为客户机提供对 Sun Java System Message Queue 的访问权限。在 Solaris 上,此“代理程序”通过 /etc/init.d/imq daemon 脚本控制,在 Windows 上,它通过“iMQ Broker”服务控制。Identity Synchronization for Windows 在安装“核心”时配置和启动此代理程序。
审计日志 包含日常事件条目(如要同步的用户密码)的中心日志文件。管理员可以使用“Identity Synchronization for Windows 控制台”控制此日志中显示的条目数量及详细程度。
每个连接器均生成一个由该连接器处理的用户的审计日志,同时,还有一个集中的审计日志,含有由部署中的所有连接器生成的审计日志的集合。
守护进程 UNIX 计算机上负责特殊系统任务的一个后台进程。守护进程可连续运行而无需人为干预。连接器、系统管理器和中心记录器作为由 Identity Synchronization for Windows 监视器启动和监视的守护进程而运行。
首选目录服务器 Identity Synchronization for Windows 用来检测和应用用户条目更改的目录服务器主机实例。当此服务器可用时,Identity Synchronization for Windows 不与任何其它目录服务器主机通信。
属性 保存条目的描述性信息。属性具有一个标签和一个值。对于可存储为属性值的信息类型,每个属性还遵循一个标准语法。
属性列表 对于给定条目类型或对象类的必需的以及可选的属性的列表。
同步用户列表 定义 Sun 和 Windows 目录中要同步的用户。“同步用户列表”可以基于 LDAP 基本 DN 或过滤器限制要同步的用户范围。
同步主机 依照“同步用户列表”(SUL) 中定义的规则存储同步数据的服务器。
拓扑 在物理服务器间划分目录树以及这些服务器间相互链接的方式。
URL 统一资源定位器。服务器和客户机用于请求文档的寻址系统。它通常称为位置。URL 的格式为 [protocol]://[machine:port]/[document]。端口号仅在选定服务器上是必需的,并且它通常由服务器指定,用户无需将其置于 URL 中。
文件扩展名 文件名中句点或点 (.) 后面的部分,通常定义文件类型(例如,.GIF 和 .HTML)。例如,在名为 index.html 的文件中,文件扩展名为 html。
文件类型 给定文件的格式。例如,图形文件通常保存为 GIF 格式,而文本文件通常保存为 ASCII 文本格式。文件类型通常由文件扩展名标识(例如,.GIF 或 .HTML)。
系统管理器 独立的 Java 进程,由安装了“核心”的“监视器”守护进程/服务启动。系统管理器将配置信息分配给连接器和中心记录器,监视系统的运行状况并协调 idsync resync 操作。
验证 验证登录到 Directory Server 的客户机用户身份的进程。为了获准访问该目录,用户必须提供绑定 DN 及相应密码。根据目录管理员授予用户的许可,Directory Server 允许用户执行功能或访问文件和目录。
验证证书 由第三方发放的、不能转让和伪造的数字文件。验证证书从服务器发送到客户机(或从客户机发送到服务器),用以核实和验证对方的身份。
已同步的属性 请参阅重要属性。
语言环境 标识特定地区、文化和/或习俗的用户用于表示数据的整理序列、字符类型、货币格式以及时间/日期格式。还包括关于如何解释、存储或整理给定语言数据的信息。语言环境还用于指示对于给定语言应当使用的代码页。
域 (1) (n.) 全限定域名的最后部分,标识拥有该域名的公司或组织(例如,example.com、host.example.com)。
(2) (n.) 在单个计算机系统控制下的资源。域控制器 存储用户帐户信息、验证用户身份和强制执行 Windows 域安全策略的 Windows 服务器。Identity Synchronization for Windows 连接器直接与域控制器通信,以检测对用户帐户进行的更改并同步在 Directory Server 用户条目中进行的更改。
再同步间隔 连接器检查目录源更改的频率。此周期性检查是高效的,并且只需读取自上次检查以来发生更改的用户条目。控制台以毫秒为单位表示此值,默认值为 1000(1 秒)。
证书 将公共密钥与网络身份关联的数据集合。此信息可以使电子消息接收者验证消息和消息发送者的真实性。当您将 Identity Synchronization for Windows 连接器配置为使用 SSL 通信时,必须将证书添加到连接器的证书数据库后,才能进行信任 SSL 通信。另请参阅证书授权机构。
证书授权机构 销售和发放验证证书的公司或组织。可以从您信任的证书授权机构(又称为 CA)购买验证证书。超级用户证书授权机构证书用于签署其它证书。当您将 Identity Synchronization for Windows 连接器配置为使用 SSL 通信时,必须将合适的超级用户证书授权机构证书添加到“连接器”的证书数据库中。
证书数据库 安全的证书信息库,它包括以下三个文件:cert8.db、key3.db 和 secmod.db。在 Identity Synchronization for Windows 中,每个连接器都有自己的证书数据库目录(例如,<install-root>/etc/CNN100)。另请参阅证书。
中心记录器 管理所有中心日志的“核心”组件,它是每个连接器的审计和错误日志的集合。管理员可以通过监视这些日志监视整个 Identity Synchronization for Windows 安装的运行状况。可以直接或从“Identity Synchronization for Windows 控制台”查看中心日志。默认情况下,在安装了“核心”的机器的 <install-root>/logs/central/ 子目录下可获得中心日志。
主对象类 请参阅结构对象类。
主机名 machine.domain.com 形式的计算机名,该名称被转换成 IP 地址。例如,www.example.com 为计算机 www,该计算机处于子域 example 和域 com 中。
子组件 子组件是一个独立于连接器运行的轻量级进程或库。子组件在连接器管理的目录源附近运行,实现在连接器中无法从远程计算机或单独进程获得的功能。子组件通过自定义加密频道与连接器通信,以接收配置信息、报告更改事件并记录到中心记录器。Identity Synchronization for Windows 包括以下三个子组件:Directory Server 插件、Windows NT Password Filter DLL 和 Windows NT Change Detector。
字符类型 使字母字符与数字(或其它)字符区别开来,并包括大小写字母转换。