Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 |
附錄 A
使用 Identity Synchronization for Windows 指令行公用程式Identity Synchronization for Windows 可讓您從指令行執行各種工作。本附錄解釋如何透過 Identity Synchronization for Windows 指令行公用程式來執行不同工作。內容分作以下各節:
共用功能Identity Synchronization for Windows 指令行公用程式共用下列功能:
共用引數
本節描述大部分指令行公用程式共用的引數 (選項)。內容分作以下各表:
- 表格 A-1 所有子指令共用的引數:介紹下列所有 idsync 子指令 (除了 prepds) 和遷移工具共用的引數。
-D <bind-DN> -w <bind-password | -> [-h <Configuration Directory-hostname>]
[-p <Configuration Directory-port-no>] [-s <rootsuffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>]
- 表格 A-2 所有子指令共用的 SSL 相關引數:介紹一些選擇性引數,用於提供關於使用安全套接層 (SSL) 安全存取 Configuration Directory Server 的資訊。這些引數也對所有的 idsync 子指令和遷移工具共用。
輸入密碼
在需要密碼引數之處 (例如 -w <bind-password> 或-q <configuration_password>),您可以使用「-」引數告訴密碼程式從 STDIN 讀取密碼。
如果您對多個密碼選項使用「-」值,idsync 將根據引數順序提示您輸入密碼。
在此情形下,程式先提示您輸入 <bind-password>,然後再提示輸入 <configuration-password>。
取得說明
您可以在指令主控台中使用下列指令之一顯示關於 idsync 或其任何子指令的用法資訊:
若要獲得用法資訊
使用 idsync 指令使用 idsync 指令和子指令執行 Identity Synchronization for Windows 指令行公用程式。
附註
idsync 指令可在將引數傳送到 Directory Server 前,將所有的 DN 值引數 (例如連結 DN 或字尾名稱) 從指定給該視窗的字元集轉換為 UTF-8。
在字尾名稱中不要使用反斜線作為退出字元。
若要在 Solaris 上指定 UTF-8 字元,您的終端機視窗必須要有基於 UTF-8 的語言環境。請確定環境變數的 LC_CTYPE 和 LANG 的設定正確。
您可以使用下列方法之一執行帶子指令的 idsync 指令 (除非另有特別指示):
表格 A-4 列出所有的 idsync 公用程式子指令及其用途:
表格 A-4 idsync 子指令快速參照
子指令
用途
certinfo
根據您的配置和 SSL 設定值顯示憑證資訊。(請參閱使用 certinfo)
changepw
變更 Identity Synchronization for Windows 配置密碼(請參閱使用 changepw)
importcnf
將匯出的 Identity Synchronization for Windows 1.0 版 XML 配置文件匯入 (請參閱使用 importcnf)
prepds
準備 Sun Java System Directory Server 來源,以供 Identity Synchronization for Windows 使用
(請參閱使用 prepds)printstat
顯示完成安裝/配置過程必須執行之步驟的清單。同時提供安裝的連接器、系統管理員和 Message Queue 的狀態 (請參閱 使用 printstat)
resetconn
將配置目錄中的連接器狀態重設為未安裝(請參閱使用 resetconn)
resync
連結及重新同步化現有使用者並在安裝過程中預先填寫目錄 (請參閱使用 resync)
startsync
啟動同步化 (請參閱使用 startsync)
stopsync
停止同步化 (請參閱使用 stopsync)
使用 certinfo
您可以根據您的配置和 SSL 設定值使用 certinfo 子指令顯示憑證資訊。此類資訊可協助您決定針對每個連接器和/或 Directory Server 外掛程式必須將哪些憑證加入憑證資料庫。
若要顯示憑證資訊,開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync certinfo 指令:
例如:
idsync certinfo -w <admin-password> -q <configuration-password>
附註
關於 certinfo 引數的詳細資訊,請參閱共用引數。
使用 changepw
您可以使用 changepw 子指令變更 Identity Synchronization for Windows 配置密碼。
若要變更 Identity Synchronization for Windows 的配置密碼:
- 停止所有 Identity Synchronization for Windows 程序 (例如,系統管理員、中央記錄程式、連接器、主控台、安裝程式/解除安裝程式)。
- 停止所有程序後,將配置目錄匯出到 ldif 來備份 ou=Services 目錄樹。
- 鍵入如下 idsync changepw 指令:
idsync changepw [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
-b <new password | - > [-y]例如:
idsync changepw -w <admin password> -q <old config password> -b -q <new config password>
下列引數是 changepw 專用的:
附註
關於其他 changepw 引數的詳細資訊,請參閱共用引數。
- 回應在終端機視窗中顯示的訊息。例如,
Are you sure that want to change the configuration password (y/n)? yes
Before restarting the system - you must edit the $PSWHOME/resources/SystemManagerBootParams.cfg file and change the 惍 eploymentPassword?to the new value.
SUCCESS- 您必須在重新啟動系統前修改 SystemManagerBootParams.cfg 檔案。
$PSWHOME\resources (其中 $PSWHOME 是 <isw-installation directory>) 中的 SystemManagerBootParams.cfg 檔案包含系統管理員用於連接配置目錄的配置密碼。
例如,如下變更密碼值:
變更前:<Parameter name="manager.configReg.deploymentPassword" value="oldpassword"/>
變更後:<Parameter name="manager.configReg.deploymentPassword" value="newpassword"/>
- 如果程式報告有任何錯誤,請從步驟 2 使用 ldif 還原配置目錄,然後再試一次。最有可能的錯誤原因是在密碼變更期間主控配置目錄的 Directory Server 無法使用。
使用 importcnf
安裝核心元件之後 (第 3 章,「安裝核心程式」),使用 idsync importcnf 子指令將匯出的 Identity Synchronization for Windows 1.0 版 (SP1) XML 配置檔案 (包含核心元件配置資訊) 匯入。
若要匯入 1.0 版的 XML 配置檔案,請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync importcnf 指令:
idsync importcnf [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -f <filename> [-n]
例如:
idsync importcnf -w <admin_password> -q <configuration_password> -f 浢yConfig.cfg?
下列引數是 importcnf 專用的:
附註
關於其他 importcnf 引數的詳細資訊,請參閱共用引數。
在匯入 1.0 版的 XML 配置檔案後,您必須對為同步化配置的所有 Directory Server 來源執行 prepds,(請參閱使用 prepds) 然後才可安裝 Identity Synchronization for Windows 連接器和子元件。
使用 prepds
使用主控台或 prepds 子指令可準備 Sun Java System Directory Server 來源供 Identity Synchronization for Windows 使用。必須先執行 prepds 才能安裝 Directory Server 連接器。
執行 idsync prepds 子指令後,適用的 ACI 會套用到 cn=changelog 項目,其為 Retro-Changelog 資料庫的根節點。
目錄管理員使用者是 Directory Server 上的特殊使用者,其具有 Directory Server 實例中完整的權限。(ACI 不適用於目錄管理員使用者。)
例如,只有目錄管理員可以設定 Retro-Changelog 資料庫的存取控制,這是對於喜好的主要伺服器 Identity Synchronization for Windows 需要目錄管理員憑證的原因之一。
附註
如果您因為任何原因而為喜好的 Sun 目錄來源重建 Retro-Changelog 資料庫,則預設的存取控制設定將不允許 Directory Server 連接器讀取資料庫內容。
若要還原 Retro-Changelog 資料庫之存取控制設定,請執行 idsync prepds,或在「主控台」中選取適當的 Sun 目錄來源,然後按一下「備妥 Directory Server」按鈕。
附註
在執行 idsync prepds 之前,務必規劃您的 Identity Synchronization for Windows 配置,因為您必須知道將使用哪些主機和字尾。
對已安裝、配置並同步化 Directory Server 連接器和外掛程式的 Directory Server 字尾執行 idsync prepds 會產生一個訊息,要求您安裝 Directory Server 連接器。請忽略此訊息。
若要準備 Sun Java System Directory Server 來源,請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync prepds 指令:
idsync prepds [-D <bind-DN>] -w <bind-password | -> [-h <preferred host>]
[-p <preferred-port>] [-s <database-suffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>] [-j <secondary_host>] [-r <secondary-port>] [-E <admin DN of secondary host>] [-u <password for secondary host | ->] [-x]
例如:
idsync prepds -D 涄n=Directory Manager?-w <preferred master password> -h <preferred-host> -p 389 -s dc=example,dc=com -j 烞econdary host?-r 389 -E 涄n=Administrator?-u <secondary master password> -s dc=example,dc=com
表格 A-7 介紹 idsync prepds 所專用的引數:
表格 A-7 prepds 引數
引數
描述
-h <name>
指定作為喜好主機之 Directory Server 實例的 DNS 名稱。
-p <port>
指定作為喜好主機之 Directory Server 實例的通訊埠埠號。(預設值為 389。)
-j <name> (可選)
指定作為輔助主機之 Directory Server 實例的 DNS 名稱 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。
-r <port> (可選)
指定作為輔助主機的 Directory Server 所使用的通訊埠 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。(預設值為 389。)
-D <dn>
指定喜好主機之目錄管理員使用者的辨別名稱。
-w <password>
指定喜好主機之目錄管理員使用者的密碼。
- 值從標準輸入 (STDIN) 讀取密碼。-E <admin-DN>
指定輔助主機之目錄管理員使用者的辨別名稱。
-u <password>
指定輔助主機之目錄管理員使用者的密碼。
- 值從標準輸入 (STDIN) 讀取密碼。-s <rootsuffix>
指定根字尾供新增索引時使用 (將對根字尾同步化使用者)。
附註:喜好主機和輔助主機的資料庫名稱可能不同,但是子尾則相同。因此,程式可以找到每個主機的資料庫名稱並用來新增索引。
-x
不將 dspswuserlink 屬性的平等指數和存在指數加入資料庫中。
如果您在複製環境 (例如,您有喜好的主伺服器、輔助的主伺服器和兩個用戶伺服器) 中執行 idsync prepds,您只需要在喜好伺服器和輔助主伺服器執行 idsync prepds 一次。
若要執行 idsync prepds
執行 idsync prepds 指令完成下列作業:
使用 printstat
您可以使用 printstat 子指令來:
若要列印安裝的連接器、系統管理員和 Message Queue 的狀態,請開啟終端機視窗 (或指令視窗) 並輸入如下 idsync printstat 指令:
idsync printstat [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync printstat -w <admin password> -q <configuration password>
附註
有關 printstat 引數的詳細資訊,請參閱共用引數。
使用 resetconn
您可以使用 resetconn 子指令將配置目錄中的連接器狀態重設為未安裝。例如,如果硬體故障妨礙您解除安裝連接器,請使用 resetconn 將連接器的狀態變更為未安裝,如此您即可重新安裝連接器。
若要從指令行重設連接器狀態,開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync resetconn 指令:
idsync resetconn [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -e <directory-source-name> [-n]
例如:
idsync resetconn -w <admin password> -q <configuration_password> -e 洖c=example,dc=com?
表格 A-8 介紹 resetconn 所專用的引數:
附註
idsync printstat 可用來尋找目錄來源名稱。
有關 resetconn 引數的詳細資訊,請參閱共用引數。
使用 resync
您可使用 resync 子指令來驅動現有使用者的部署。這項指令使用管理者指定的比對規則來
- 連結現有的項目
- 將遠端目錄的內容填入空的目錄中
- 批量同步化兩個現有使用者個體群之間的屬性值
附註
有關連結與同步化使用者的詳細資訊,請參閱現有使用者同步化。
若要重新同步化現有使用者並預先填寫目錄,請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync resync 指令:
idsync resync [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-n] [-f <xml filename for linking>] [-k] [-a <ldap-filter>] [-l <sul-to-sync>] [-o Sun | Windows] [-c] [-x] [-u] [-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]
例如:
idsync resync -w <admin password> -q <configuration_password>
表格 A-9 介紹 resync 所專用的引數:
表格 A-9 idsync resync 用法
引數
涵義
-f <filename>
使用 Identity Synchronization for Windows 提供的任一指定 XML 配置檔案,在未連結的使用者項目之間建立連結
(請參閱附錄 B,「LinkUsers XML 文件範例」。)-k
僅在未連結的使用者之間建立連結 (不建立使用者或修改現有使用者)
-a <ldap-filter>
指定一個 LDAP 篩選器以限制要同步化的項目
該篩選器將套用於重新同步化作業的來源。
例如,如果指定 idsync resync -o Sun -a 烔id=*?/span>,則所有具備 uid 屬性的 Directory Server 使用者都將同步化到 Active Directory。-l <sul-to-sync>
指定要重新同步化的個別同步化使用者清單 (SUL)
附註:您可以指定多個 SUL ID 來重新同步化多個 SUL,或是如果您沒有指定任何 SUL ID,程式將重新同步化您全部的 SUL。
-o (Sun | Windows)
指定重新同步化作業的來源
(預設值為 Windows。)
-c
如果在目標目錄來源沒有找到對應使用者,則自動建立一個使用者項目
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)
重設 Sun 目錄來源中同步化的使用者項目的密碼,當下一次需要使用者密碼時強制對目前網域中的這些使用者進行密碼同步化。
-u
只更新物件快取。不修改任何項目。
此引數只會更新 Windows 目錄來源的使用者項目之本機快取,如此可避免在 Directory Server 中建立既存的 Windows 使用者。如果使用此引數,Windows 使用者項目便不會與 Directory Server 使用者項目實現同步。此引數只有在 resync 來源為 Windows 時有效。
-x
刪除所有不符合來源項目的目標使用者項目。
-n
在安全模式下執行動作,以便預覽作業效果,而又不會造成實際的變更。
執行 resync 後,請檢查中央稽核日誌中的 resync.log 檔案。如果產生錯誤,請參閱第 9 章,「疑難排解」 。
使用 startsync
您可以從指令行使用 startsync 子指令啟動同步化。
若要啟動同步化,開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync startsync 指令:
idsync startsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync startsync -w <admin password> -q <configuration_password>
表格 A-10 介紹 startsync 所專用的引數:
附註
有關其他 startsync 引數的詳細資訊,請參閱共用引數。
使用 stopsync
您可以從指令行使用 stopsync 子指令停止同步化。
若要停止同步化,開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync stopsync 指令:
idsync stopsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
例如:
idsync stopsync -w <admin password> -q <configuration_password>
附註
有關 stopsync 引數的詳細資訊,請參閱共用引數。
使用 forcepwchg 遷移公用程式在遷移時變更其密碼的使用者將在 Windows NT 和 Directory Server 中有不同的密碼。您可以使用 forcepwchg 公用程式向 Identity Synchronization for Windows 1.0 版到 1 2004Q3 版的遷移程序期間變更其密碼的使用者要求密碼變更。
在使用 forcepwchg 之前,必須確認以下各項:
若要執行 forcepwchg 指令行公用程式,
表格 A-11 介紹 forcepwchg 所專用的引數:
表格 A-11 forcepwchg 引數
選項
描述
-n
指定預覽模式。
在預覽模式中,公用程式會列印出所有一般使用者的名稱,除了:在預覽模式中,任何使用者都可以執行 forcepwchg。
在非預覽模式中,只有管理員可以執行 forcepwchg。-a
要求所有使用者 (除了 Administrator 和 Guest) 變更其密碼。
如果您使用 -t 引數則無法使用此引數。-t <time_specification>
強制過去 <time specification> 內變更了密碼的使用者變更其密碼。其中 <time specification> 可以有下列格式:
例如,如果您指定 forcepwchg -t 6h,所有在前六小時內變更密碼的使用者將被要求重新變更其密碼。
-?
列印用法資訊。
附註
有關使用 forcepwchg 的詳細資訊,請參閱強制在 Windows NT 上變更密碼。