附錄 A 使用 Identity Synchronization for Windows 指令行公用程式

上一頁目錄索引下一頁
Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南

附錄 A
使用 Identity Synchronization for Windows 指令行公用程式

Identity Synchronization for Windows 可讓您從指令行執行各種工作。本附錄解釋如何透過 Identity Synchronization for Windows 指令行公用程式來執行不同工作。內容分作以下各節：

共用功能

使用 idsync 指令

使用 forcepwchg 遷移公用程式

共用功能

Identity Synchronization for Windows 指令行公用程式共用下列功能：

共用引數

輸入密碼

取得說明

共用引數

本節描述大部分指令行公用程式共用的引數 (選項)。內容分作以下各表：

表格 A-1 所有子指令共用的引數：介紹下列所有 idsync 子指令 (除了 prepds) 和遷移工具共用的引數。

-D <bind-DN> -w <bind-password | -> [-h <Configuration Directory-hostname>]
[-p <Configuration Directory-port-no>] [-s <rootsuffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>]

附註

括號 [ ] 代表選擇性引數。

Identity Synchronization for Windows 安裝程式會根據您在安裝期間提供的資訊自動寫入預設值到 -h、-p、-D 和 -s 引數。不過，您可以在指令行指定不同的值覆寫預設值。

為了支援多位元組字元，Identity Synchronization for Windows 在指令行介面 (CLI) 環境檔案中以 base64 來編碼 -s <rootsuffix> 和 -D <bind-DN> 的預設值。不應變更根字尾預設值。可在指令行上覆寫連結 DN 的預設值，或以 CLI 環境檔案中的相應 base64 編碼值來更新 DN 的預設值。

表格 A-2 所有子指令共用的 SSL 相關引數：介紹一些選擇性引數，用於提供關於使用安全套接層 (SSL) 安全存取 Configuration Directory Server 的資訊。這些引數也對所有的 idsync 子指令和遷移工具共用。

表格 A-3 配置目錄引數：介紹與配置目錄相關的引數。這些引數對兩個以上的 idsync 子指令和遷移工具共用。

附註

特定子指令的專有引數將會在相關的子指令章節中說明。

表格 A-1  所有子指令共用的引數

引數

描述

-h <Configuration Directory-hostname>

指定配置目錄主機名稱。本引數預設為安裝核心期間指定的值。

-p <Configuration Directory-port-no>

指定配置目錄 LDAP 通訊埠埠號。

-D <bind-DN>

指定配置目錄連結辨別名稱 (DN)。本引數預設為安裝核心期間指定的值。

-w <bind-password | ->

指定配置目錄連結密碼。- 值從標準輸入 (STDIN) 讀取密碼。

-s <rootsuffix>

指定配置目錄根字尾。其中根字尾是一個辨別名稱，例如 dc=example,dc=com。
本引數預設為安裝核心期間指定的值。

-q <configuration_password | ->

指定配置密碼。- 值代表將從標準輸入 (STDIN) 讀取密碼。

所有子指令的這個引數均為必要引數，但 prepds 除外。

表格 A-2  所有子指令共用的 SSL 相關引數

引數

描述

-Z

指定用來提供安全通訊的 SSL。當連線至配置目錄存取指令行介面或喜好的/輔助的 Directory Server 時，提供基於憑證的用戶端驗證。

-P <cert-db-path>

指定用戶端的憑證資料庫路徑及檔案名稱。

此憑證資料庫必須包含用來簽署 Directory Server 憑證資料庫的 CA 憑證。

如果您指定 -Z 但未使用 -P，<cert-db-path> 預設為 <current-working-directory>/cert8.db。

附註：如果 Identity Synchronization for Windows 沒有在指定目錄中找到憑證資料庫，程式會在該目錄中建立一個 *empty* 資料庫，其由三個檔案構成：cert8.db、key3.db 及 secmod.db。

-m <secmod-db-path>

指定安全模組資料庫的路徑。例如：

/var/Sun/MPS/slapd-<serverID>/secmod.db

唯有當安全模組資料庫與憑證資料庫本身所在的目錄不同時，才需指定此引數。

表格 A-3  配置目錄引數

引數

描述

-a <ldap_filter>

與 forcepwchg 和 resync 子指令配合使用

指定在從來源 SUL 擷取使用者時要使用的 LDAP 篩選器，並讓作業在確定使用者是否歸於指定的 SUL 之前，從目錄來源擷取使用者焦點子集。

-f <filename>

與 export10cnf、importcnf 和 resync 子指令配合使用

指定 XML 配置文件的檔案名稱。

-n

與 forcepwchg、importcnf 和 resetconn 子指令配合使用

在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。

輸入密碼

在需要密碼引數之處 (例如 -w <bind-password> 或-q <configuration_password>)，您可以使用「-」引數告訴密碼程式從 STDIN 讀取密碼。

如果您對多個密碼選項使用「-」值，idsync 將根據引數順序提示您輸入密碼。

在此情形下，程式先提示您輸入 <bind-password>，然後再提示輸入 <configuration-password>。

取得說明

您可以在指令主控台中使用下列指令之一顯示關於 idsync 或其任何子指令的用法資訊：

-help

--help

-?

若要獲得用法資訊

對於 idsync (包含有效子指令的清單)，在指令提示符號處鍵入上述說明選項之一，並按一下 Return 鍵。

對於子指令，在指令提示符號處鍵入跟有說明選項的子指令，並按一下 Return 鍵。

使用 idsync 指令

使用 idsync 指令和子指令執行 Identity Synchronization for Windows 指令行公用程式。

附註

idsync 指令可在將引數傳送到 Directory Server 前，將所有的 DN 值引數 (例如連結 DN 或字尾名稱) 從指定給該視窗的字元集轉換為 UTF-8。

在字尾名稱中不要使用反斜線作為退出字元。

若要在 Solaris 上指定 UTF-8 字元，您的終端機視窗必須要有基於 UTF-8 的語言環境。請確定環境變數的 LC_CTYPE 和 LANG 的設定正確。

您可以使用下列方法之一執行帶子指令的 idsync 指令 (除非另有特別指示)：

從 Solaris：

開啟終端機視窗並使用 cd 指令進入 /opt/SUNWisw/bin 目錄。

鍵入如下帶有一個子指令的 idsync 指令

idsync <subcommand>

從 Windows：

開啟指令視窗並使用 cd 指令進入 <install_path>\isw-<hostname>\bin 目錄。

鍵入如下帶有一個子指令的 idsync 指令

idsync <subcommand>

表格 A-4 列出所有的 idsync 公用程式子指令及其用途：

表格 A-4  idsync 子指令快速參照

子指令

用途

certinfo

根據您的配置和 SSL 設定值顯示憑證資訊。(請參閱使用 certinfo)

changepw

變更 Identity Synchronization for Windows 配置密碼(請參閱使用 changepw)

importcnf

將匯出的 Identity Synchronization for Windows 1.0 版 XML 配置文件匯入 (請參閱使用 importcnf)

prepds

準備 Sun Java System Directory Server 來源，以供 Identity Synchronization for Windows 使用
(請參閱使用 prepds)

printstat

顯示完成安裝/配置過程必須執行之步驟的清單。同時提供安裝的連接器、系統管理員和 Message Queue 的狀態 (請參閱使用 printstat)

resetconn

將配置目錄中的連接器狀態重設為未安裝(請參閱使用 resetconn)

resync

連結及重新同步化現有使用者並在安裝過程中預先填寫目錄 (請參閱使用 resync)

startsync

啟動同步化 (請參閱使用 startsync)

stopsync

停止同步化 (請參閱使用 stopsync)

使用 certinfo

您可以根據您的配置和 SSL 設定值使用 certinfo 子指令顯示憑證資訊。此類資訊可協助您決定針對每個連接器和/或 Directory Server 外掛程式必須將哪些憑證加入憑證資料庫。

若要顯示憑證資訊，開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync certinfo 指令：

idsync certinfo [<bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

附註

因為 certinfo 子指令無法存取連接器和 Directory Server 的憑證資料庫，所以它列出的某些必要步驟可能已經執行過。

例如：

idsync certinfo -w <admin-password> -q <configuration-password>

附註

關於 certinfo 引數的詳細資訊，請參閱共用引數。

使用 changepw

您可以使用 changepw 子指令變更 Identity Synchronization for Windows 配置密碼。

若要變更 Identity Synchronization for Windows 的配置密碼：

停止所有 Identity Synchronization for Windows 程序 (例如，系統管理員、中央記錄程式、連接器、主控台、安裝程式/解除安裝程式)。

停止所有程序後，將配置目錄匯出到 ldif 來備份 ou=Services 目錄樹。

鍵入如下 idsync changepw 指令：

idsync changepw [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]
-b <new password | - > [-y]

例如：

idsync changepw -w <admin password> -q <old config password> -b -q <new config password>

下列引數是 changepw 專用的：

表格 A-5  idsync changepw 引數

引數

描述

-b <password>

指定一個新的配置密碼。- 值從標準輸入 (STDIN) 讀取密碼。

[-y]

不提示使用者確認指令。

附註

關於其他 changepw 引數的詳細資訊，請參閱共用引數。

回應在終端機視窗中顯示的訊息。例如，

Are you sure that want to change the configuration password (y/n)? yes

Before restarting the system - you must edit the $PSWHOME/resources/SystemManagerBootParams.cfg file and change the 惍 eploymentPassword?to the new value.

SUCCESS

您必須在重新啟動系統前修改 SystemManagerBootParams.cfg 檔案。

$PSWHOME\resources (其中 $PSWHOME 是 <isw-installation directory>) 中的 SystemManagerBootParams.cfg 檔案包含系統管理員用於連接配置目錄的配置密碼。

例如，如下變更密碼值：

變更前：<Parameter name="manager.configReg.deploymentPassword" value="oldpassword"/>

變更後：<Parameter name="manager.configReg.deploymentPassword" value="newpassword"/>

如果程式報告有任何錯誤，請從步驟 2 使用 ldif 還原配置目錄，然後再試一次。最有可能的錯誤原因是在密碼變更期間主控配置目錄的 Directory Server 無法使用。

使用 importcnf

注意

只有在從 Identity Synchronization for Windows 1.0 或 1.0 SP1 版遷移到 1 2004Q3 版時，才使用 idsync importcnf。

安裝核心元件之後 (第 3 章，「安裝核心程式」)，使用 idsync importcnf 子指令將匯出的 Identity Synchronization for Windows 1.0 版 (SP1) XML 配置檔案 (包含核心元件配置資訊) 匯入。

若要匯入 1.0 版的 XML 配置檔案，請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync importcnf 指令：

idsync importcnf [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -f <filename> [-n]

例如：

idsync importcnf -w <admin_password> -q <configuration_password> -f 浢yConfig.cfg?

下列引數是 importcnf 專用的：

表格 A-6  idsync importcnf 引數

引數

描述

-f <filename>

指定 XML 配置文件的名稱。

-n

在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。

附註

關於其他 importcnf 引數的詳細資訊，請參閱共用引數。

在匯入 1.0 版的 XML 配置檔案後，您必須對為同步化配置的所有 Directory Server 來源執行 prepds，(請參閱使用 prepds) 然後才可安裝 Identity Synchronization for Windows 連接器和子元件。

使用 prepds

使用主控台或 prepds 子指令可準備 Sun Java System Directory Server 來源供 Identity Synchronization for Windows 使用。必須先執行 prepds 才能安裝 Directory Server 連接器。

執行 idsync prepds 子指令後，適用的 ACI 會套用到 cn=changelog 項目，其為 Retro-Changelog 資料庫的根節點。

如果您準備喜好的主要 Directory Server 供 Identity Synchronization for Windows 使用，則必須提供 Directory Manager 憑證。

目錄管理員使用者是 Directory Server 上的特殊使用者，其具有 Directory Server 實例中完整的權限。(ACI 不適用於目錄管理員使用者。)

例如，只有目錄管理員可以設定 Retro-Changelog 資料庫的存取控制，這是對於喜好的主要伺服器 Identity Synchronization for Windows 需要目錄管理員憑證的原因之一。

附註

如果您因為任何原因而為喜好的 Sun 目錄來源重建 Retro-Changelog 資料庫，則預設的存取控制設定將不允許 Directory Server 連接器讀取資料庫內容。

若要還原 Retro-Changelog 資料庫之存取控制設定，請執行 idsync prepds，或在「主控台」中選取適當的 Sun 目錄來源，然後按一下「備妥 Directory Server」按鈕。

附註

您可配置系統，使其在超過一段指定時間後自動移除 (或調整) Change-log 項目。從指令行中，修改 cn=Retro Changelog Plugin, cn=plugins, cn=config 內的 nsslapd-changelogmaxage 配置屬性：

nsslapd-changelogmaxage: IntegerTimeunit

此處：

Integer 是一個數字

Timeunit 是秒數 (顯示為 s)、分鐘數 (顯示為 m)、時數 (顯示為 h)、天數 (顯示為 d)、週數 (顯示為 w)。(Integer 與 Timeunit 變數之間不得有空格。)

例如，nsslapd-changelogmaxage: 2d

有關詳細資訊，請參閱《Sun Java™ System Directory Server 5 2004Q2 管理指南》中的〈管理複製〉一章。

您可以使用管理憑證準備一個輔助伺服器。

附註

在執行 idsync prepds 之前，務必規劃您的 Identity Synchronization for Windows 配置，因為您必須知道將使用哪些主機和字尾。

對已安裝、配置並同步化 Directory Server 連接器和外掛程式的 Directory Server 字尾執行 idsync prepds 會產生一個訊息，要求您安裝 Directory Server 連接器。請忽略此訊息。

若要準備 Sun Java System Directory Server 來源，請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync prepds 指令：

idsync prepds [-D <bind-DN>] -w <bind-password | -> [-h <preferred host>]
[-p <preferred-port>] [-s <database-suffix>] [-Z] [-P <cert-db-path>]
[-m <secmod-db-path>] [-j <secondary_host>] [-r <secondary-port>] [-E <admin DN of secondary host>] [-u <password for secondary host | ->] [-x]

例如：

idsync prepds -D 涄n=Directory Manager?-w <preferred master password> -h <preferred-host> -p 389 -s dc=example,dc=com -j 烞econdary host?-r 389 -E 涄n=Administrator?-u <secondary master password> -s dc=example,dc=com

附註

只重新定義 prepds 子指令的 -h、-p、-D、-w 和 -s 引數 (詳見下表)。此外，-q 引數不適用。

表格 A-7 介紹 idsync prepds 所專用的引數：

表格 A-7  prepds 引數

引數

描述

-h <name>

指定作為喜好主機之 Directory Server 實例的 DNS 名稱。

-p <port>

指定作為喜好主機之 Directory Server 實例的通訊埠埠號。(預設值為 389。)

-j <name> (可選)

指定作為輔助主機之 Directory Server 實例的 DNS 名稱 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。

-r <port> (可選)

指定作為輔助主機的 Directory Server 所使用的通訊埠 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。(預設值為 389。)

-D <dn>

指定喜好主機之目錄管理員使用者的辨別名稱。

-w <password>

指定喜好主機之目錄管理員使用者的密碼。
- 值從標準輸入 (STDIN) 讀取密碼。

-E <admin-DN>

指定輔助主機之目錄管理員使用者的辨別名稱。

-u <password>

指定輔助主機之目錄管理員使用者的密碼。
- 值從標準輸入 (STDIN) 讀取密碼。

-s <rootsuffix>

指定根字尾供新增索引時使用 (將對根字尾同步化使用者)。

附註：喜好主機和輔助主機的資料庫名稱可能不同，但是子尾則相同。因此，程式可以找到每個主機的資料庫名稱並用來新增索引。

-x

不將 dspswuserlink 屬性的平等指數和存在指數加入資料庫中。

如果您在複製環境 (例如，您有喜好的主伺服器、輔助的主伺服器和兩個用戶伺服器) 中執行 idsync prepds，您只需要在喜好伺服器和輔助主伺服器執行 idsync prepds 一次。

若要執行 idsync prepds

請確定 Directory Server 複製功能開啟並正在執行 (如果適用的話)。

從主控台或指令行執行 idsync prepds 指令，例如：

idsync prepds -h M1.example.com -p 389 -j M2.example.com -r 389 . . .

執行 idsync prepds 指令完成下列作業：

M1：

啟用並延伸 RCL，以擷取更多屬性 (dspswuserlink 等等)

RCL 只需要在 M1 上。

延伸模式。

用 ACI 新增 uid=pswconnector,<suffix> user。

新增索引到 dspswuserlink 屬性，暫時使 Directory Server 處於唯讀模式直到索引完成。

您可以稍後新增索引來避免停機，但是必須在安裝 Directory Server 連接器之前新增索引。

在 M2 上新增索引。

附註

複製動作可確保 Identity Synchronization for Windows 將模式資訊和 uid=pswconnector 從喜好主伺服器複製到輔助主伺服器和兩個用戶伺服器。

您必須安裝 Directory Server 連接器一次。您必須在所有目錄中安裝 Directory Server 外掛程式。

只需要在喜好和輔助主伺服器中建立索引。(複製不會將索引配置從喜好主伺服器推向輔助主伺服器。)

使用 printstat

您可以使用 printstat 子指令來：

顯示完成安裝和配置過程必須執行之剩餘步驟的清單

列印安裝的連接器、系統管理員和 Message Queue 的狀態

可能的狀態設定包括：

未安裝。未安裝連接器。

已安裝。已安裝連接器，但是尚未準備好進行同步化，因為還沒接收到運行時間配置。

就緒。連接器已準備好進行同步化，但尚未同步化任何物件。

正在同步。連接器正在同步化物件。

若要列印安裝的連接器、系統管理員和 Message Queue 的狀態，請開啟終端機視窗 (或指令視窗) 並輸入如下 idsync printstat 指令：

idsync printstat [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>]
-q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如：

idsync printstat -w <admin password> -q <configuration password>

附註

有關 printstat 引數的詳細資訊，請參閱共用引數。

使用 resetconn

您可以使用 resetconn 子指令將配置目錄中的連接器狀態重設為未安裝。例如，如果硬體故障妨礙您解除安裝連接器，請使用 resetconn 將連接器的狀態變更為未安裝，如此您即可重新安裝連接器。

注意

resetconn 子指令應只在硬體或解除安裝程式故障時使用。

若要從指令行重設連接器狀態，開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync resetconn 指令：

idsync resetconn [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] -e <directory-source-name> [-n]

例如：

idsync resetconn -w <admin password> -q <configuration_password> -e 洖c=example,dc=com?

表格 A-8 介紹 resetconn 所專用的引數：

表格 A-8  idsync resetconn 引數

引數

描述

-e <dir-source>

指定所要重設的目錄來源名稱。

-n

在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。

附註

idsync printstat 可用來尋找目錄來源名稱。

有關 resetconn 引數的詳細資訊，請參閱共用引數。

使用 resync

您可使用 resync 子指令來驅動現有使用者的部署。這項指令使用管理者指定的比對規則來

連結現有的項目

將遠端目錄的內容填入空的目錄中

批量同步化兩個現有使用者個體群之間的屬性值

附註

有關連結與同步化使用者的詳細資訊，請參閱現有使用者同步化。

若要重新同步化現有使用者並預先填寫目錄，請開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync resync 指令：

idsync resync [-D <bind-DN>] -w <bind-password> | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>] [-n] [-f <xml filename for linking>] [-k] [-a <ldap-filter>] [-l <sul-to-sync>] [-o Sun | Windows] [-c] [-x] [-u] [-i ALL_USERS | NEW_USERS | NEW_LINKED_USERS]

例如：

idsync resync -w <admin password> -q <configuration_password>

表格 A-9 介紹 resync 所專用的引數：

表格 A-9  idsync resync 用法

引數

涵義

-f <filename>

使用 Identity Synchronization for Windows 提供的任一指定 XML 配置檔案，在未連結的使用者項目之間建立連結
(請參閱附錄 B，「LinkUsers XML 文件範例」。)

-k

僅在未連結的使用者之間建立連結 (不建立使用者或修改現有使用者)

-a <ldap-filter>

指定一個 LDAP 篩選器以限制要同步化的項目
該篩選器將套用於重新同步化作業的來源。
例如，如果指定 idsync resync -o Sun -a 烔id=*?/span>，則所有具備 uid 屬性的 Directory Server 使用者都將同步化到 Active Directory。

-l <sul-to-sync>

指定要重新同步化的個別同步化使用者清單 (SUL)

附註：您可以指定多個 SUL ID 來重新同步化多個 SUL，或是如果您沒有指定任何 SUL ID，程式將重新同步化您全部的 SUL。

-o (Sun | Windows)

指定重新同步化作業的來源

Sun：將 Windows 項目的屬性值設定為 Sun Java System Directory Server 目錄來源項目中的對應屬性值。

Windows：將 Sun Java System Directory Server 項目的屬性值設定為 Windows 目錄來源項目中的對應屬性值。

(預設值為 Windows。)

-c

如果在目標目錄來源沒有找到對應使用者，則自動建立一個使用者項目

為在 Active Directory 或 Windows NT 中建立的使用者隨機產生一個密碼

除非指定了 -i 選項，否則自動為 Directory Server 中建立的使用者建立一個特殊密碼值 ((PSWSYNC)*INVALID PASSWORD*)

-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)

重設 Sun 目錄來源中同步化的使用者項目的密碼，當下一次需要使用者密碼時強制對目前網域中的這些使用者進行密碼同步化。

ALL_USERS：強制對所有同步化的使用者執行隨需密碼同步化

NEW_USERS：只強制對新建立的使用者執行隨需密碼同步化

NEW_LINKED_USERS：強制對所有新建立和新連結的使用者執行隨需密碼同步化

-u

只更新物件快取。不修改任何項目。

此引數只會更新 Windows 目錄來源的使用者項目之本機快取，如此可避免在 Directory Server 中建立既存的 Windows 使用者。如果使用此引數，Windows 使用者項目便不會與 Directory Server 使用者項目實現同步。此引數只有在 resync 來源為 Windows 時有效。

-x

刪除所有不符合來源項目的目標使用者項目。

-n

在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。

附註

執行不帶引數的 idsync resync 可檢視用法說明。

有關 resync 引數的詳細資訊，請參閱共用引數。

有關重新同步化現有使用者的詳細資訊，請參閱現有使用者同步化。

執行 resync 後，請檢查中央稽核日誌中的 resync.log 檔案。如果產生錯誤，請參閱第 9 章，「疑難排解」。

使用 startsync

您可以從指令行使用 startsync 子指令啟動同步化。

若要啟動同步化，開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync startsync 指令：

idsync startsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如：

idsync startsync -w <admin password> -q <configuration_password>

表格 A-10 介紹 startsync 所專用的引數：

表格 A-10  idsync startsync 引數

引數

描述

[-y]

不提示使用者確認指令。

附註

有關其他 startsync 引數的詳細資訊，請參閱共用引數。

使用 stopsync

您可以從指令行使用 stopsync 子指令停止同步化。

若要停止同步化，開啟終端機視窗 (或指令視窗) 並鍵入如下 idsync stopsync 指令：

idsync stopsync [-D <bind-DN>] -w <bind-password | -> [-h <Configuration Directory-hostname>] [-p <Configuration Directory-port-no>] [-s <rootsuffix>] -q <configuration_password> [-Z] [-P <cert-db-path>] [-m <secmod-db-path>]

例如：

idsync stopsync -w <admin password> -q <configuration_password>

附註

有關 stopsync 引數的詳細資訊，請參閱共用引數。

使用 forcepwchg 遷移公用程式

在遷移時變更其密碼的使用者將在 Windows NT 和 Directory Server 中有不同的密碼。您可以使用 forcepwchg 公用程式向 Identity Synchronization for Windows 1.0 版到 1 2004Q3 版的遷移程序期間變更其密碼的使用者要求密碼變更。

附註

forcepwchg 公用程式只在 Windows 套裝軟體中提供。

在使用 forcepwchg 之前，必須確認以下各項：

確定您未將 Directory Server 中的 7 位元核對外掛程式配置為強制 userpassword 屬性實施 7 位元值。使用 Directory Server 主控台可達到此目的。

確定用於驗證的用戶端正確地將您所用語言環境的值轉譯為 UTF-8。(例如，隨附於 Directory Server 的 ldapsearch 的 -i 選項)。

若要執行 forcepwchg 指令行公用程式，

開啟「指令提示符號」視窗並使用 cd 指令進入執行遷移之主機上的 Windows migration 目錄。(Identity Synchronization for Windows 1.0 NT 元件 (連接器、變更偵測器 DLL、密碼篩選器 DLL) 必須安裝在 PDC 主機上。)

從 migration 目錄，鍵入

java -jar forcepwchg.jar [-n] [-a] [-t <time_specification>]

例如，

forcepwchg.jar -n -a
forcepwchg.jar -t 33m

表格 A-11 介紹 forcepwchg 所專用的引數：

表格 A-11  forcepwchg 引數

選項

描述

-n

指定預覽模式。
在預覽模式中，公用程式會列印出所有一般使用者的名稱，除了：

內建帳號 (Administrator 和 Guest，如果指定 -a 引數)。

在使用 -t 引數指定的時間段變更了密碼的使用者。

在預覽模式中，任何使用者都可以執行 forcepwchg。
在非預覽模式中，只有管理員可以執行 forcepwchg。

-a

要求所有使用者 (除了 Administrator 和 Guest) 變更其密碼。
如果您使用 -t 引數則無法使用此引數。

-t <time_specification>

強制過去 <time specification> 內變更了密碼的使用者變更其密碼。其中 <time specification> 可以有下列格式：

<number>：秒數 (例如，-t 30)

<number>m：分鐘數 (例如，-t 25m)

<number>h：小時數 (例如，-t 6h)

例如，如果您指定 forcepwchg -t 6h，所有在前六小時內變更密碼的使用者將被要求重新變更其密碼。

-?

列印用法資訊。

附註

有關使用 forcepwchg 的詳細資訊，請參閱強制在 Windows NT 上變更密碼。

上一頁      目錄      索引      下一頁

文件編號：817-7849。 Copyright 2004 Sun Microsystems, Inc. 版權所有。


附註	括號 [ ] 代表選擇性引數。 Identity Synchronization for Windows 安裝程式會根據您在安裝期間提供的資訊自動寫入預設值到 -h、-p、-D 和 -s 引數。不過，您可以在指令行指定不同的值覆寫預設值。為了支援多位元組字元，Identity Synchronization for Windows 在指令行介面 (CLI) 環境檔案中以 base64 來編碼 -s <rootsuffix> 和 -D <bind-DN> 的預設值。不應變更根字尾預設值。可在指令行上覆寫連結 DN 的預設值，或以 CLI 環境檔案中的相應 base64 編碼值來更新 DN 的預設值。


附註	特定子指令的專有引數將會在相關的子指令章節中說明。

引數	描述
-h <Configuration Directory-hostname>	指定配置目錄主機名稱。本引數預設為安裝核心期間指定的值。
-p <Configuration Directory-port-no>	指定配置目錄 LDAP 通訊埠埠號。
-D <bind-DN>	指定配置目錄連結辨別名稱 (DN)。本引數預設為安裝核心期間指定的值。
-w <bind-password \| ->	指定配置目錄連結密碼。- 值從標準輸入 (STDIN) 讀取密碼。
-s <rootsuffix>	指定配置目錄根字尾。其中根字尾是一個辨別名稱，例如 dc=example,dc=com。本引數預設為安裝核心期間指定的值。
-q <configuration_password \| ->	指定配置密碼。- 值代表將從標準輸入 (STDIN) 讀取密碼。所有子指令的這個引數均為必要引數，但 prepds 除外。

引數	描述
-Z	指定用來提供安全通訊的 SSL。當連線至配置目錄存取指令行介面或喜好的/輔助的 Directory Server 時，提供基於憑證的用戶端驗證。
-P <cert-db-path>	指定用戶端的憑證資料庫路徑及檔案名稱。此憑證資料庫必須包含用來簽署 Directory Server 憑證資料庫的 CA 憑證。如果您指定 -Z 但未使用 -P，<cert-db-path> 預設為 <current-working-directory>/cert8.db。附註：如果 Identity Synchronization for Windows 沒有在指定目錄中找到憑證資料庫，程式會在該目錄中建立一個 empty 資料庫，其由三個檔案構成：cert8.db、key3.db 及 secmod.db。
-m <secmod-db-path>	指定安全模組資料庫的路徑。例如： /var/Sun/MPS/slapd-<serverID>/secmod.db 唯有當安全模組資料庫與憑證資料庫本身所在的目錄不同時，才需指定此引數。

引數	描述
-a <ldap_filter> 與 forcepwchg 和 resync 子指令配合使用	指定在從來源 SUL 擷取使用者時要使用的 LDAP 篩選器，並讓作業在確定使用者是否歸於指定的 SUL 之前，從目錄來源擷取使用者焦點子集。
-f <filename> 與 export10cnf、importcnf 和 resync 子指令配合使用	指定 XML 配置文件的檔案名稱。
-n 與 forcepwchg、importcnf 和 resetconn 子指令配合使用	在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。


附註	idsync 指令可在將引數傳送到 Directory Server 前，將所有的 DN 值引數 (例如連結 DN 或字尾名稱) 從指定給該視窗的字元集轉換為 UTF-8。在字尾名稱中不要使用反斜線作為退出字元。若要在 Solaris 上指定 UTF-8 字元，您的終端機視窗必須要有基於 UTF-8 的語言環境。請確定環境變數的 LC_CTYPE 和 LANG 的設定正確。

子指令	用途
certinfo	根據您的配置和 SSL 設定值顯示憑證資訊。(請參閱使用 certinfo)
changepw	變更 Identity Synchronization for Windows 配置密碼(請參閱使用 changepw)
importcnf	將匯出的 Identity Synchronization for Windows 1.0 版 XML 配置文件匯入 (請參閱使用 importcnf)
prepds	準備 Sun Java System Directory Server 來源，以供 Identity Synchronization for Windows 使用 (請參閱使用 prepds)
printstat	顯示完成安裝/配置過程必須執行之步驟的清單。同時提供安裝的連接器、系統管理員和 Message Queue 的狀態 (請參閱使用 printstat)
resetconn	將配置目錄中的連接器狀態重設為未安裝(請參閱使用 resetconn)
resync	連結及重新同步化現有使用者並在安裝過程中預先填寫目錄 (請參閱使用 resync)
startsync	啟動同步化 (請參閱使用 startsync)
stopsync	停止同步化 (請參閱使用 stopsync)


附註	因為 certinfo 子指令無法存取連接器和 Directory Server 的憑證資料庫，所以它列出的某些必要步驟可能已經執行過。


附註	關於 certinfo 引數的詳細資訊，請參閱共用引數。

引數	描述
-b <password>	指定一個新的配置密碼。- 值從標準輸入 (STDIN) 讀取密碼。
[-y]	不提示使用者確認指令。


附註	關於其他 changepw 引數的詳細資訊，請參閱共用引數。


注意	只有在從 Identity Synchronization for Windows 1.0 或 1.0 SP1 版遷移到 1 2004Q3 版時，才使用 idsync importcnf。

引數	描述
-f <filename>	指定 XML 配置文件的名稱。
-n	在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。


附註	關於其他 importcnf 引數的詳細資訊，請參閱共用引數。


附註	如果您因為任何原因而為喜好的 Sun 目錄來源重建 Retro-Changelog 資料庫，則預設的存取控制設定將不允許 Directory Server 連接器讀取資料庫內容。若要還原 Retro-Changelog 資料庫之存取控制設定，請執行 idsync prepds，或在「主控台」中選取適當的 Sun 目錄來源，然後按一下「備妥 Directory Server」按鈕。


附註	您可配置系統，使其在超過一段指定時間後自動移除 (或調整) Change-log 項目。從指令行中，修改 cn=Retro Changelog Plugin, cn=plugins, cn=config 內的 nsslapd-changelogmaxage 配置屬性： nsslapd-changelogmaxage: IntegerTimeunit 此處： Integer 是一個數字 Timeunit 是秒數 (顯示為 s)、分鐘數 (顯示為 m)、時數 (顯示為 h)、天數 (顯示為 d)、週數 (顯示為 w)。(Integer 與 Timeunit 變數之間不得有空格。) 例如，nsslapd-changelogmaxage: 2d 有關詳細資訊，請參閱《Sun Java™ System Directory Server 5 2004Q2 管理指南》中的〈管理複製〉一章。


附註	在執行 idsync prepds 之前，務必規劃您的 Identity Synchronization for Windows 配置，因為您必須知道將使用哪些主機和字尾。對已安裝、配置並同步化 Directory Server 連接器和外掛程式的 Directory Server 字尾執行 idsync prepds 會產生一個訊息，要求您安裝 Directory Server 連接器。請忽略此訊息。


附註	只重新定義 prepds 子指令的 -h、-p、-D、-w 和 -s 引數 (詳見下表)。此外，-q 引數不適用。

引數	描述
-h <name>	指定作為喜好主機之 Directory Server 實例的 DNS 名稱。
-p <port>	指定作為喜好主機之 Directory Server 實例的通訊埠埠號。(預設值為 389。)
-j <name> (可選)	指定作為輔助主機之 Directory Server 實例的 DNS 名稱 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。
-r <port> (可選)	指定作為輔助主機的 Directory Server 所使用的通訊埠 (適用於 Sun Java System Directory Server 5 2004Q2 多主伺服器複製 (MMR) 環境)。(預設值為 389。)
-D <dn>	指定喜好主機之目錄管理員使用者的辨別名稱。
-w <password>	指定喜好主機之目錄管理員使用者的密碼。 - 值從標準輸入 (STDIN) 讀取密碼。
-E <admin-DN>	指定輔助主機之目錄管理員使用者的辨別名稱。
-u <password>	指定輔助主機之目錄管理員使用者的密碼。 - 值從標準輸入 (STDIN) 讀取密碼。
-s <rootsuffix>	指定根字尾供新增索引時使用 (將對根字尾同步化使用者)。附註：喜好主機和輔助主機的資料庫名稱可能不同，但是子尾則相同。因此，程式可以找到每個主機的資料庫名稱並用來新增索引。
-x	不將 dspswuserlink 屬性的平等指數和存在指數加入資料庫中。


附註	複製動作可確保 Identity Synchronization for Windows 將模式資訊和 uid=pswconnector 從喜好主伺服器複製到輔助主伺服器和兩個用戶伺服器。您必須安裝 Directory Server 連接器一次。您必須在所有目錄中安裝 Directory Server 外掛程式。只需要在喜好和輔助主伺服器中建立索引。(複製不會將索引配置從喜好主伺服器推向輔助主伺服器。)


附註	有關 printstat 引數的詳細資訊，請參閱共用引數。


注意	resetconn 子指令應只在硬體或解除安裝程式故障時使用。

引數	描述
-e <dir-source>	指定所要重設的目錄來源名稱。
-n	在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。


附註	idsync printstat 可用來尋找目錄來源名稱。有關 resetconn 引數的詳細資訊，請參閱共用引數。


附註	有關連結與同步化使用者的詳細資訊，請參閱現有使用者同步化。

引數	涵義
-f <filename>	使用 Identity Synchronization for Windows 提供的任一指定 XML 配置檔案，在未連結的使用者項目之間建立連結 (請參閱附錄 B，「LinkUsers XML 文件範例」。)
-k	僅在未連結的使用者之間建立連結 (不建立使用者或修改現有使用者)
-a <ldap-filter>	指定一個 LDAP 篩選器以限制要同步化的項目該篩選器將套用於重新同步化作業的來源。例如，如果指定 idsync resync -o Sun -a 烔id=*?/span>，則所有具備 uid 屬性的 Directory Server 使用者都將同步化到 Active Directory。
-l <sul-to-sync>	指定要重新同步化的個別同步化使用者清單 (SUL) 附註：您可以指定多個 SUL ID 來重新同步化多個 SUL，或是如果您沒有指定任何 SUL ID，程式將重新同步化您全部的 SUL。
-o (Sun \| Windows)	指定重新同步化作業的來源 Sun：將 Windows 項目的屬性值設定為 Sun Java System Directory Server 目錄來源項目中的對應屬性值。 Windows：將 Sun Java System Directory Server 項目的屬性值設定為 Windows 目錄來源項目中的對應屬性值。 (預設值為 Windows。)
-c	如果在目標目錄來源沒有找到對應使用者，則自動建立一個使用者項目為在 Active Directory 或 Windows NT 中建立的使用者隨機產生一個密碼除非指定了 -i 選項，否則自動為 Directory Server 中建立的使用者建立一個特殊密碼值 ((PSWSYNC)INVALID PASSWORD)
-i (ALL_USERS \| NEW_USERS \| NEW_LINKED_USERS)	重設 Sun 目錄來源中同步化的使用者項目的密碼，當下一次需要使用者密碼時強制對目前網域中的這些使用者進行密碼同步化。 ALL_USERS：強制對所有同步化的使用者執行隨需密碼同步化 NEW_USERS：只強制對新建立的使用者執行隨需密碼同步化 NEW_LINKED_USERS：強制對所有新建立和新連結的使用者執行隨需密碼同步化
-u	只更新物件快取。不修改任何項目。此引數只會更新 Windows 目錄來源的使用者項目之本機快取，如此可避免在 Directory Server 中建立既存的 Windows 使用者。如果使用此引數，Windows 使用者項目便不會與 Directory Server 使用者項目實現同步。此引數只有在 resync 來源為 Windows 時有效。
-x	刪除所有不符合來源項目的目標使用者項目。
-n	在安全模式下執行動作，以便預覽作業效果，而又不會造成實際的變更。


附註	執行不帶引數的 idsync resync 可檢視用法說明。有關 resync 引數的詳細資訊，請參閱共用引數。有關重新同步化現有使用者的詳細資訊，請參閱現有使用者同步化。


附註	有關其他 startsync 引數的詳細資訊，請參閱共用引數。


附註	有關 stopsync 引數的詳細資訊，請參閱共用引數。


附註	forcepwchg 公用程式只在 Windows 套裝軟體中提供。