上一頁      目錄      索引      下一頁
Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南

附錄 D
定義和配置同步化使用者清單

本附錄提供關於同步化使用者清單 (SUL) 定義的補充資訊，並說明如何配置多個網域。內容歸納如下：

認識同步化使用者清單定義
配置多重 Windows 網域

---

認識同步化使用者清單定義

每個同步化使用者清單 (SUL) 均包含兩個定義，一個用來確定要同步化的 Directory Server 使用者，另一個用來確定要同步化的 Windows 使用者。

每個定義均可確定目錄中要同步化的使用者、不要同步化的使用者以及建立新使用者之處。

附註	您使用 Identity Synchronization for Windows 主控台選取的物件類別也可確定要同步化的使用者。程式只會同步化具有選定物件類別的使用者，其中包括具有選定物件類別之子類別的所有使用者。 例如，如果選取 organizationalPerson 物件類別，則 Identity Synchronization for Windows 將會同步化具有 inetorgperson 物件類別的使用者，因為它是 organizationalPerson 物件類別的子類別。

表格 D-1 介紹 SUL 定義的組成元件：

表格 D-1  SUL 定義組成元件

組成元件	定義	適用環境
		Sun	AD	NT
基本 DN	定義要同步化的所有使用者之父項 LDAP 節點。 同步化使用者清單的基本 DN 包括該 DN 中所有的使用者，除非使用者被同步化使用者清單的篩選器排除，或是使用者的 DN 符合更精細的同步化使用者清單。例如，ou=sales,dc=example,dc=com。	是	是	否
篩選器	定義 LDAP 形式篩選器，用於從同步化使用者清單納入或排除使用者。篩選器可包含 &、|、!、= 與 * 運算符。不支援 >= 與 <= 運算符。所有的比較都是使用大小寫不須相符的字串比較完成的。 例如，(& (employeeType=manager)(st=CA)) 將只包括在 California 的所有經理。	是	是	是
建立表示式	定義新建立使用者的父項 DN 和命名屬性 (只適用於啟用了建立的情況下)。 建立表示式必須包括同步化使用者清單的基本 DN。例如，cn=%cn%,ou=sales,dc=example,dc=com。(其中 %cn% 記號由即將建立的使用者項目的值替代。)	是	是	否

附註	若要將 Sun Java System Directory Server 中的使用者與多個 Active Directory 網域同步，您必須針對各 Active Directory 網域定義至少一個 SUL。

如果定義多個 SUL，Identity Synchronization for Windows 會重複配對每個 SUL 定義來確定 SUL 中的成員。程式會先以更具體的基本 DN 來檢查 SUL 定義。
例如，程式先測試 ou=sales,dc=example,dc=com 的配對，然後再測試 dc=example,dc=com 的配對。

如果兩個 SUL 定義具有相同的基本 DN 和不同的篩選器，則 Identity Synchronization for Windows 無法自動決定應該先測試哪個篩選器，因此您必須使用「解決網域重疊」功能來排序兩個 SUL 定義。如果使用者符合某個 SUL 定義的基本 DN，但不符合該基本 DN 的任何篩選器，則程式會將該使用者從同步化中排除 (即使該使用者符合精細程度較低的基本 DN 之篩選器)。

---

配置多重 Windows 網域

為支援將多重 Windows 網域同步化到相同的 Directory Server 容器 (例如 ou=people,dc=example,dc=com)，Identity Synchronization for Windows 使用包含網域資訊的「合成」Windows 屬性。

就 Active Directory 網域而言，Identity Synchronization for Windows 先將 activedirectorydomainname 屬性設定為 Active Directory 網域名稱 (例如 east.example.com)，然後再將項目同步化到 Directory Server。
就 Windows NT 網域而言，Identity Synchronization for Windows 先將 user_nt_domain_name 屬性設定為 Windows NT 網域名稱 (例如 NTEXAMPLE)，然後再將項目同步化到 Directory Server。

儘管這些屬性並不實際出現在 Windows 使用者項目中，但可用於在 Identity Synchronization for Windows 主控台中同步化，並可對映到 Directory Server 使用者屬性。一旦 Identity Synchronization for Windows 對映網域屬性之後，同步化期間這些屬性會在 Directory Server 項目中設定並可用於同步化使用者清單 (SUL) 篩選器中。

下列範例說明 Identity Synchronization for Windows 如何使用這些屬性。本範例假設將三個 Windows 網域 (兩個 Active Directory 網域以及一個 Windows NT 網域) 與一個 Directory Server 實例同步化。

Active Directory 網域 east.example.com 中的使用者將以 ou=people,dc=example,dc=com 同步化到 Directory Server。
Active Directory 網域 west.example.com 中的使用者將以 ou=people,dc=example,dc=com 同步化到 Directory Server。
Windows NT 網域 NTEXAMPLE 中的使用者將以 ou=people,dc=example,dc=com 同步化到 Directory Server。

當您建立或修改 Directory Server 使用者時，程式會使用 SUL 篩選器來決定將在哪個 Windows 網域同步化使用者 (因為每個 Directory Server SUL 都有相同的基本 DN，ou=people,dc=example,dc=com)。activedirectorydomainname 和 user_nt_domain_name 屬性使建構篩選器變得容易。

若要從主控台的「屬性」標籤中建構一個篩選器，請：

將 Directory Server destinationindicator 屬性對映到 Active Directory activedirectorydomainname 屬性以及 Windows NT user_nt_domain_name 屬性。
如下所示為每個 Windows 網域配置一個 SUL：

EAST_SUL Sun Java System Directory Server definition Base DN:ou=people,dc=example,dc=com Filter:destinationindicator=east.example.com Creation Expression:cn=%cn%,ou=people,dc=example,dc=com Active Directory definition (east.example.com) Base DN:cn=users,dc=east,dc=example,dc=com Filter:<none> Creation Expression:cn=%cn%,cn=users,dc=east,dc=example,dc=com WEST_SUL Sun Java System Directory Server definition Base DN:ou=people,dc=example,dc=com Filter:destinationindicator=west.example.com Creation Expression:cn=%cn%,ou=people,dc=example,dc=com Active Directory definition (west.example.com) Base DN:cn=users,dc=west,dc=example,dc=com Filter:<none> Creation Expression:cn=%cn%,cn=users,dc=west,dc=example,dc=com NT_SUL Sun Java System Directory Server definition Base DN:ou=people,dc=example,dc=com Filter:destinationindicator=NTEXAMPLE Creation Expression:cn=%cn%,ou=people,dc=example,dc=com Windows NT definition (NTEXAMPLE) Base DN:NA Filter:<none> Creation Expression:NA

注意，每個 Directory Server SUL 定義都有相同的基本 DN 以及建立表示式，但是篩選器指示對應 Windows 使用者項目的網域。

若要進一步說明這些設定值如何讓 Directory Server 使用者項目同步化到各 Windows 網域，請參考此測試實例：

在 Active Directory east.example.com 網域中建立 cn=Jane Test,cn=users,dc=east,dc=example,dc=com。
Identity Synchronization for Windows 用 destinationindicator=east.example.com 在 Directory Server 中建立使用者項目 cn=Jane Test,ou=people,dc=example,dc=com。
修改 Directory Server 中的 cn=Jane Test,ou=people,dc=example,dc=com 項目。
因為 Jane Test 的 destinationindicator 屬性為 east.example.com，她的項目將符合 EAST_SUL 同步化使用者清單篩選器，並且修改將被同步化到 east.example.com Active Directory 網域。

本範例假設 Identity Synchronization for Windows 建立使用者時的傳遞方向是從 Windows 同步化到 Directory Server。如果不是這種情形，您可以執行 idsync resync 指令來設定 destinationindicator 屬性。

附註	當您在部署了多個 SUL 的環境中使用 idsync resync -f 時，可能必須將連結配置檔案中的 allowLinkingOutOfScope 選項設為 true。請參閱附錄 B，「LinkUsers XML 文件範例」以瞭解詳細資訊。

本範例使用 inetorgperson 中現有的屬性 destinationIndicator，其還可用於其他用途。如果此屬性已經使用，或是選取了不同的物件類別，則您必須將使用者的 Directory Server 項目中的某些屬性對映到 user_nt_domain_name 以及/或是 activedirectorydomainname 屬性。您選擇用於容納此值的 Directory Server 屬性必須在用於屬性對映配置的其餘部分的物件類別中。

如果沒有尚未使用的屬性可保留此網域資訊，您必須建立新的物件類別來容納新網域屬性以及將用於 Identity Synchronization for Windows 的所有其他屬性。

上一頁      目錄      索引      下一頁

---

文件編號：817-7849。 Copyright 2004 Sun Microsystems, Inc. 版權所有。