|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 | |
第 1 章
瞭解產品Identity Synchronization for Windows 提供 Sun Java™ System Directory Server 5 2004Q2 與下列項目之間的雙向密碼和使用者屬性同步化:
Identity Synchronization for Windows 處理同步化事件時具有以下特點
在您安裝 (或遷移到) Sun Java System Identity Synchronization for Windows 1 2004Q3 版前,您應該先熟悉本章中描述的概念,本章由以下幾節組成:
產品功能Identity Synchronization for Windows 提供下列特色和功能:
- 雙向使用者屬性同步化:可讓您在一個目錄環境中建立、修改和刪除選取的屬性,並自動將值傳播到其他目錄環境。
- 雙向使用者帳號建立同步化:可讓您在一個目錄環境中建立或刪除使用者帳號,並自動將新帳戶傳播到其他目錄環境。
- 雙向物件刪除、啟動及關閉:可讓您控制物件刪除、啟動和關閉動作在 Directory Server 與 Active Directory 目錄來源 (Windows NT 沒有) 之間的傳遞方向。
- 多網域同步化:可讓您與多個 Active Directory 和 Windows NT 網域,以及多個 Active Directory 群進行同步化。
- 集中式系統稽核:可讓您從單一集中的位置監控安裝與配置狀態、日常系統作業,以及與部署相關的任何出錯情況。
不需修改 Windows 目錄中的項目,也不需變更使用目錄的應用程式。
如果您使用 Identity Synchronization for Windows 在 Directory Server 和 Active Directory 之間進行同步化,則不需要在 Windows 作業環境中安裝任何元件。
如果您是在 Directory Server 和 Windows NT 之間進行同步化,您必須在 Windows NT 環境中安裝產品的 NT 元件。
系統元件Identity Synchronization for Windows 包含一組核心元件和任意數量的個別連接器及連接器子元件,透過它們可實現 Sun Java System Directory Server 和 Windows 目錄之間的密碼和使用者屬性更新的同步化 (請參閱圖 1-1)。
圖 1-1 系統元件
本節定義並描述 Identity Synchronization for Windows 的每個元件,主題分述如下:
監視程式程序
監視程式是一種 Identity Synchronization for Windows java 處理程序,負責啟動、重新啟動和停止各個後台 java 處理程序。「監視程式」可啟動及監控中央記錄程式、系統管理員和連接器 (但不監控子元件、Message Queue 或 Identity Synchronization for Windows 主控台)。
監視程式安裝在核心元件的安裝位置,可作為 Solaris 常駐程式或 Windows 服務啟動。(有關啟動與停止服務的資訊,請參閱啟動與停止服務。)
核心程式
當您安裝 Identity Synchronization for Windows 時,首先安裝核心元件,然後對其進行配置,使其適用於您的環境。
核心程式由下列元件所構成,它們都是單獨的 java 程序。各項元件的描述從下列參考頁碼開始:
配置目錄
Identity Synchronization for Windows 將其配置資料儲存在 Directory Server 配置目錄下 (本程式不安裝配置目錄)。
主控台、系統管理員、指令行公用程式和安裝程式都會從配置目錄讀取產品配置資料或向其中寫入產品配置資料,包括:
主控台
Identity Synchronization for Windows 提供一個主控台,可集中產品的所有元件配置和管理工作。
您可以使用主控台:
指令行公用程式
Identity Synchronization for Windows 還提供指令行公用程式,您可直接從指令行執行下列工作:
- 根據您的配置和 SSL 設定值顯示憑證資訊
- 變更 Identity Synchronization for Windows 配置密碼
- 將匯出的 Identity Synchronization for Windows 1.0 版 XML 配置文件匯入
- 備妥 Sun Java System Directory Server 來源供 Identity Synchronization for Windows 使用
- 顯示完成安裝/配置過程必須執行之步驟,檢視已安裝之連接器、系統管理員和 Message Queue 的狀態
- 將配置目錄中的連接器狀態重設為未安裝
- 同步化及連結兩個目錄中的現有使用者,並在安裝過程中預先填寫目錄
- 啟動同步化
- 停止同步化
有關本產品指令行公用程式以及其使用方式的詳細資訊,請參閱附錄 A,「使用 Identity Synchronization for Windows 指令行公用程式」 。
系統管理員
Identity Synchronization for Windows 系統管理員是一個單獨的 java 程序,其功能如下:
中央記錄程式
可能已安裝連接器以便將它們廣泛地分佈到各遠端地理位置;因此,將所有登入資訊集中具有重要的管理價值,因為這樣可以使管理員從一個位置監控同步化活動、偵測錯誤及評估整體系統的狀況。
管理員可使用中央記錄程式:
有兩種不同的日誌類型:
連接器
連接器是負責管理單一資料來源類型之同步化處理的一項 java 程序。連接器可偵測出資料來源中的使用者變更,然後將這些變更透過 Message Queue 發佈到遠端連接器上。
Identity Synchronization for Windows 提供下列目錄專有的連接器,其負責在目錄和網域之間雙向同步化使用者屬性和密碼更新:
- Directory Server 連接器:支援 Directory Server 中的單一根字尾 (如字尾/資料庫)
- Active Directory 連接器:支援 Windows 2000 或 Windows 2003 Server Active Directory 環境中的單一實例。您可以為額外網域使用多個連接器
- Windows NT 連接器:支援 Windows NT 環境中的單一網域
附註
監視程式安裝在連接器的安裝位置,負責啟動、重新啟動與停止連接器。有關詳細資訊,請參閱監視程式程序。
連接器子元件
子元件是單獨從連接器中執行的輕量級處理程序或程式庫。連接器使用子元件來存取無法從遠端存取的原生資源,例如擷取 Directory Server 或 Windows NT 內的密碼。
下列連接器子元件與要同步化的目錄一同安裝,並透過加密連接與對應的連接器通訊。
Directory Server 外掛程式
Directory Server 外掛程式是 Directory Server 連接器的子元件。應在每個要同步化的 Directory Server 中安裝 Directory Server 外掛程式。
此外掛程式可以
- 將加密的密碼儲存在 Retro Changelog 中,進而加強 Directory Server 連接器的變更偵測功能
- 提供 Active Directory 和 Directory Server 間使用者屬性和密碼同步化的雙向支援 (請參閱使用隨需密碼同步化來取得明文密碼)
Windows NT 連接器子元件
如果您的安裝需要與 Windows NT SAM Registries 同步化,Identity Synchronization for Windows 安裝程式將在主要網域控制器 (PDC) 中與 Windows NT 連接器一道安裝下列項目:
Message Queue
Identity Synchronization for Windows 使用 Message Queue (具有發佈/訂閱模型的一種持續性的訊息佇列機制) 在目錄來源之間傳播屬性與密碼變更,並將管理與配置資訊分佈至負責管理這些目錄來源的同步化之連接器。
Message Queue 是一種實施 Java 訊息服務 (JMS) 開放式標準的企業傳訊系統。JMS 規格是指一組程式設計介面,這組介面可為處於分散式環境中的 java 應用程式提供建立、傳送、接收和讀取訊息的一種共同方式。
Message Queue 是由訊息發佈方與訂閱方構成,雙方使用一種共同的訊息服務來交換訊息。此訊息服務是由一或多個專用的訊息代理程式組合而成,這些代理程式負責控制對訊息佇列的存取、維護有關現用發佈方與訂閱方的資訊,並確保訊息的傳達。
Message Queue 可謂最佳方式,因為它
系統元件分佈在您開發有效部署前,必須瞭解 Identity Synchronization for Windows 元件的組織方式及產品運作方式。本節內容分述如下:
瞭解本節及部署方案範例 (更多資訊...) 中描述的基本概念後,您應該能夠推知為更複雜精密的方案 (如混合的 Active Directory 與 Windows NT 環境或多伺服器的環境) 建立部署策略時所需要的資訊。
核心程式
您先要在任何受支援作業系統的目錄伺服器上安裝所有核心元件,且只需安裝一次。Administration Server 須位於核心程式所在的電腦上。安裝核心程式之前,您必須安裝 Message Queue 3.5 SP1 Enterprise Edition。
Directory Server 連接器與外掛程式
您可以在任何支援的作業系統上安裝 Directory Server 連接器 (請見作業系統需求)。您不需要在執行被同步化的 Directory Server 的電腦上安裝 Directory Server 連接器。不過,每個配置的 Directory Server 來源都必須安裝一個 Directory Server 連接器。
您必須在要同步化之 Directory Server 所在的每台主機上安裝 Directory Server 外掛程式。
附註
為每個 Directory Server 來源安裝一個 Directory Server 連接器。不過,應為每個要同步化的主伺服器、集線器和用戶複本安裝 Directory Server 外掛程式。
Active Directory 連接器
您可以在任何受支援的作業系統上安裝 Active Directory 連接器 (請參閱圖 1-2)。您不需要在 Windows 環境中安裝 Active Directory 連接器,不過每個 Active Directory 網域必須安裝一個 Active Directory 連接器。
圖 1-2 Directory Server 和 Active Directory 元件分佈
Windows NT 連接器和子元件
若要與 Windows NT SAM Registry 同步化 (請參閱圖 1-3),您必須在主要網域控制器 (PDC) 中安裝 Windows NT 連接器。此外,安裝程式會連同連接器在 NT 網域的 PDC 中安裝兩個 NT 連接器子元件 (變更偵測器和密碼篩選器 DLL)。一個 NT 連接器同步化一個 NT 網域的使用者和密碼。
圖 1-3 Directory Server 和 NT 元件分佈
Identity Synchronization for Windows 如何偵測目錄來源中的變更本節說明 Sun Java System Directory Server (Directory Server)、Windows Active Directory和 Windows NT 連接器如何偵測出使用者項目和密碼的變更。
內容分述如下:
Directory Server 連接器如何偵測變更
Directory Server 連接器透過 LDAP 檢查 Directory Server Retro-Changelog,偵測出使用者項目和密碼變更事件。Directory Server 外掛程式可協助連接器進行下列操作:
- 加密明文密碼並使之可在 Retro Changelog 中使用,以擷取明文密碼。如果沒有此外掛程式,則只有雜湊的密碼會出現在 Retro Changelog 中,而雜湊的密碼是不能進行同步化的。
- 在 Active Directory 中執行隨需密碼同步化;這樣就無需在 Windows 環境中安裝任何 Identity Synchronization for Windows 元件 (請參閱使用隨需密碼同步化來取得明文密碼)。
圖 1-4 Directory Server 連接器如何偵測變更
Active Directory 連接器如何偵測變更
Windows 2000/2003 Server Active Directory 連接器檢查 Active Directory 的 USNChanged 和 PwdLastSet 屬性值來偵測使用者項目和密碼的變更。
不同於 Directory Server 的 Retro Changelog,當您變更項目中的屬性時,Active Directory 並不會報告哪些屬性被變更。Active Directory 用來識別項目變更的方式是遞增 USNchanged 屬性。為了偵測各個屬性的變更,Active Directory 和 Windows NT 連接器使用一個稱為物件快取的同處理序資料庫。該物件快取可儲存各個 Active Directory 項目的一份雜湊複本,讓連接器得以藉此確實判斷有哪些項目屬性遭到修改。
您不需在 Windows 環境中安裝 Active Directory 連接器。它們可以在別處執行 (例如 Solaris 電腦上) 並透過 LDAP 從遠端偵測或進行變更。
圖 1-5 Active Directory 連接器如何偵測變更
Windows NT 連接器如何偵測變更
Windows NT 連接器藉由檢查安全性日誌中有關使用者物件的稽核事件,來偵測使用者項目和密碼的變更。
若要與 Windows NT SAM Registry 同步化 (請參閱圖 1-3),您必須在主要網域控制器 (PDC) 中安裝 Windows NT 連接器。此外,安裝程式會連同連接器在 NT 網域的 PDC 中安裝兩個 NT 連接器子元件 (變更偵測器和密碼篩選器 DLL)。一個 NT 連接器同步化一個 NT 網域的使用者和密碼。
圖 1-6 Windows NT 連接器如何偵測變更
附註
如果您的部署環境中有 Windows NT 電腦,則必須啟動稽核功能,否則 Identity Synchronization for Windows 無法記錄來自該台電腦的訊息。若要確定您的 Windows NT 電腦上的稽核記錄功能是否已啟動,請參閱啟用 Windows NT 電腦上的稽核功能。
如需變更偵測器與密碼篩選器 DLL 子元件的說明,請參閱 Windows NT 連接器子元件。
傳播密碼變更
本節說明下列各種取得明文密碼的方式,有了明文密碼才能在 Windows 系統與 Directory Server 系統之間傳播密碼變更:
使用密碼篩選器 DLL 來取得明文密碼
Windows NT 連接器必須取得明文密碼,才能將密碼變更傳播至 Sun Java System Directory Server。不過,您無法從 Windows 目錄擷取明文密碼,因為密碼儲存至目錄之前已經先經過加密。
Windows NT 提供的密碼篩選器 DLL 介面,可讓元件在密碼永久性地儲存至目錄中之前,先擷取明文密碼。
使用隨需密碼同步化來取得明文密碼
雖然 Active Directory 支援與 Windows NT 相同的密碼篩選器,但您必須在每個網域控制器上安裝密碼篩選器 DLL,而不能只安裝在主要網域控制器 (PDC) 上。因為這會造成很大的安裝負荷,所以 Identity Synchronization for Windows 使用一種不同的方式 (稱為隨需密碼同步化) 來同步化從 Active Directory 傳播至 Directory Server 的密碼變更。
隨需密碼同步化使用的方式,是當使用者變更了其 Windows 2000 密碼之後嘗試登入時,在 Directory Server 取得新的密碼值。
隨需密碼同步化亦可讓您使 Active Directory 上的密碼同步化,而不需使用密碼篩選器 DLL。
隨需密碼同步化的過程如下:
- 使用者在 Windows 工作站上按 Ctrl-Alt-Del 並變更其密碼。新密碼儲存至 Active Directory。
- Active Directory 連接器依照排定的時間間隔對系統進行輪詢。
當連接器偵測到密碼變更 (根據 USNchanged (更新序號) 和 PwdLastSet 屬性所發生的變更) 時,連接器就會在 Message Queue 上發佈有關該密碼變更的訊息。該訊息會以 SSL 加密的通道傳輸。
圖 1-7 隨需密碼同步化 第 I 部分
- Directory Server 連接器收到從 Message Queue 傳來 (透過 SSL) 的密碼變更訊息。
- Directory Server 連接器將使用者項目的 dspswvalidate 屬性設為 true,使舊的密碼失效,並提醒 Directory Server 外掛程式密碼已經變更。
- 當使用者使用 LDAP 應用程式 (例如 Portal Server) 嘗試登入 Directory Server 並接受身份驗證時,Sun Java System Directory Server 外掛程式會偵測出該 Directory Server 項目的密碼值是無效的。
- Directory Server 外掛程式會在 Active Directory 中搜尋對應的使用者。當外掛程式找到該名使用者後,會嘗試使用該名使用者在登入 Directory Server 時輸入的密碼與 Active Directory 建立連結。
- 如果成功建立與 Active Directory 的連結,使用者就可以提供其新的 Active Directory 密碼,然後 Directory Server 外掛程式會設定該密碼並從 Directory Server 上該使用者項目中移除無效的密碼旗標。
圖 1-8 隨需密碼同步化 第 II 部分
穩定的同步化Identity Synchronization for Windows 採取了許多預防措施,以確保您不會遺漏任何使用者變更事件,即使元件暫時無法使用時也是如此。Identity Synchronization for Windows 的穩定性與 TCP 網路通訊協定類似。TCP 可保證即使是透過有損的和間歇性連線的網路傳輸資料,最後還是能夠井然有序地傳輸完所有資料。當網路故障時,網路中斷期間所傳送的資料會在佇列中等候,並在連線恢復正常後重新傳送。即使下列任一元件暫時無法使用,Identity Synchronization for Windows 最後還是能夠偵測出並套用使用者變更事件:
如果這些元件中的任何一個無法使用,Identity Synchronization for Windows 會將同步化延遲到受影響的元件能夠使用為止,並不會遺失任何變更 (即使是密碼的變更)。本 Identity Synchronization for Windows 版本不支援 Sun Cluster 或是其他標準、高可用性的解決方案。因為 Identity Synchronization for Windows 是一種在幕後執行的應用程式,使用者並不會直接與其互動,所以通常不需具備高度可用性。如果發生災難性故障,可重新安裝 Identity Synchronization for Windows 元件,並使用 idsync resync 指令來重新同步化所有目錄來源。
在大多數的情況下,當元件無法使用時,本程式會讓同步化事件在佇列中等候,並一律等到該元件能夠使用之後才套用這些同步化事件。這種處理程序有兩個例外情況:
部署範例:雙電腦配置本節中描述的部署方案是使用 Identity Synchronization for Windows 在 Sun 和 Windows 目錄間同步化使用者物件建立和雙向密碼修改作業。
此部署方案包含兩個系統:
圖 1-9 說明此部署方案的同步化需求 (含相關屬性值的節點結構)。
圖 1-9 同步化需求
此方案有兩個目標:
實體部署
圖 1-10 說明了當 Active Directory 網域位於尚未安裝元件的另一 Active Directory 網域控制器中時,本產品的所有元件在一個 Solaris 方塊中的實體部署情況。
圖 1-10 Directory Server 和 Active Directory 方案
元件分佈
主機 corp.example.com 是安裝在 Solaris 作業系統中的 Directory Server。要同步化的 Directory Server 的根字尾是 dc=corp,dc=example,dc=com。
該電腦包含:
主機 sales.example.com 是要同步化的 Active Directory 網域。
