上一頁      目錄      索引      下一頁
Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南

第 2 章
準備安裝

在安裝 Identity Synchronization for Windows 1 2004Q3 或從 1.0 版遷移到 1 2004Q3 版之前，您應該熟悉安裝和配置程序。

本章描述以下程序說明並提供準備安裝產品時可能會有幫助的其他資訊。內容分作以下各節：

安裝需求
安裝概觀
配置概況
遷移到 1 2004Q3 版
與 Active Directory 同步化密碼
配置 Windows 以進行 SSL 作業
安裝與配置決策
安裝核對清單

---

安裝需求

本節描述 Identity Synchronization for Windows 的安裝需求，其中包含作業系統版本、修補程式和用於各平台的公用程式。

作業系統需求
硬體需求
Sun Java System 軟體需求
安裝憑證

作業系統需求

下表說明這個版本的 Identity Synchronization for Windows 對作業系統的需求：

表格 2-1  Solaris 需求 

元件	Solaris 需求
核心元件	Solaris 8™ for UltraSPARC® (32 位元與 64 位元) Solaris 9™ SPARC® Platform Edition (32 位元與 64 位元) Solaris 9™ 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32
Sun Java™ System Directory Server 和 Windows Active Directory 所用的連接器	Solaris 8 for UltraSPARC (32 位元和 64 位元) SPARC 平台所用的 Solaris 9 (32 位元與 64 位元) Solaris 9 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32
Sun Java™ System Directory Server 的外掛程式	Solaris 8 for UltraSPARC (32 位元和 64 位元) SPARC 平台所用的 Solaris 9 (32 位元與 64 位元) Solaris 9 作業系統 (Pentium II 或更高效能系統所用的 x86 平台版) IA-32

表格 2-2  Windows 需求 

元件	Windows 需求
核心元件	Windows 2000 Server SP4 Windows 2000 Advanced Server SP4 Windows 2003 Server 標準版(備有最新的安全性更新) Windows 2003 Server 企業版(備有最新的安全性更新)
Sun Java™ System Directory Server 和 Windows Active Directory 所用的連接器	Windows 2000 Server SP4 Windows 2000 Advanced Server SP 4 Windows 2003 Server 標準版(備有最新的安全性更新) Windows 2003 Server 企業版(備有最新的安全性更新)
Sun Java™ System Directory Server 的外掛程式	Windows 2000 Server SP4 Windows 2000 Advanced Server SP 4 Windows 2003 Server 標準版(備有最新的安全性更新) Windows 2003 Server 企業版(備有最新的安全性更新)
NT 連接器與子元件	Windows Primary Domain Controller NT 4.0 Server SP 6A (僅適用於 x86)

硬體需求

您的硬體 (所有平台) 必須符合下列最低需求，才能執行 Identity Synchronization for Windows：

Directory Server 上的最小安裝需要大約 400 MB 的 磁碟空間。
執行任何 Identity Synchronization for Windows 元件的伺服器至少需要 512 MB 的 RAM。(最好有更多的記憶體)

Sun Java System 軟體需求

在安裝 Identity Synchronization for Windows 之前，必須安裝下列 Sun Java System 軟體元件：

Sun Java System Directory Server version 5 2004Q2 修補程式 117907-02 (或更高版本)

修補程式的更正使 Identity Synchronization for Windows 1 2004Q2 的 Directory Server 5 2004Q2 可使用刪除功能。

Solaris SPARC 套裝軟體格式：修補程式編號 117907-02 或更高
以 Solaris SPARC 壓縮的保存檔安裝：修補程式 5077789
Solaris x86 套裝軟體格式：修補程式編號 117908-02 或更高
以 Solaris x86 壓縮的保存檔安裝：修補程式 5077789
以 Windows 壓縮的保存檔安裝：修補程式 5077789

如需有關上述修補程式以及如何將它們套用到您的 Directory Server 環境的詳細資訊，請參閱位於 Identity Synchronization for Windows 下載目錄中的 README.patch 檔案，路徑如下：

<download_root>/patches/directory/README.patch

有關在 Solaris 系統上安裝 Directory Server 5 2004Q2 可能需要的修補程式之最新資訊，請參閱《Sun Java System Directory Server 5 2004Q2 Installation and Tuning Guide》以及 《Sun Java System Directory Server 5 2004Q2 版本說明》，可於以下網站找到這些資訊：

http://docs.sun.com/db/coll/DirectoryServer_04q2

Sun Java System Message Queue (之前稱為 Sun ONE Message Queue)
version 3.5 SP1 Enterprise Edition。

附註	Identity Synchronization for Windows 1.0 版會附帶安裝 Message Queue，但是版本 1 2004Q3則不會。 若要在現有的 Sun Java System Message Queue 安裝中安裝 Identity Synchronization for Windows 核心元件，必須使用 Message Queue version 3.5 SP1 Enterprise Edition。如果嘗試在不正確的 Message Queue 版本上安裝核心元件，安裝將會失敗。

Identity Synchronization for Windows 下載服務包中包含 Message Queue。此軟體在各個平台的 /messagequeue 目錄下提供，如下所示：

Solaris SPARC：/messagequeue/imq3_5-ent-solsparc.zip
Solaris x86：/messagequeue/imq3_5-ent-soli386.zip
Windows：/messagequeue/imq3_5-ent-win.exe

Java Runtime Environment

本產品並沒有隨附 Java Runtime Environment (JRE)。

您必須安裝 J2SE (或 JRE) 1.4.2_04 (或更新) 才能在 Solaris 或 Windows 上執行 Identity Synchronization for Windows 安裝程式。
您必須在 Windows NT 上安裝 JRE 1.4.1_03 (或更新版本)。

安裝憑證

若要安裝 Identity Synchronization for Windows，您必須提供下列憑證：

配置目錄
同步化的 Directory Server
Active Directory (詳細資訊，請參閱安裝核心程式。)

此外，您必須具有下列權限才能安裝 Identity Synchronization for Windows：

Solaris 系統：您必須以超級使用者身份安裝。
Windows 系統：您必須以管理員身份安裝。

附註	當您使用文字模式的安裝程式輸入密碼時，程式會自動遮罩密碼，使其不至於以明文顯示。只有 Solaris 系統才支援文字模式的安裝程式。

---

安裝概觀

圖 2-1 說明了針對單一主機部署安裝產品的程序。

圖 2-1  在單一主機部署中安裝

某些元件必須以特定順序安裝，請確定您已仔細閱讀所有的安裝說明。

Identity Synchronization for Windows 提供一份「待辦事項」清單，整個安裝與配置過程中都會顯示這份清單。此資訊畫面會列出為了順利安裝及配置本產品您必須執行的所有步驟。

圖 2-2  Identity Synchronization for Windows 待辦事項清單

當您執行安裝及配置流程時，本程式會使清單上所有已完成的步驟呈現灰色 (正如您在圖 2-2 看到的一樣)。

本節的其他部分提供關於安裝和配置程序的概觀，主題分述如下：

安裝核心元件
配置產品
備妥 Directory Server
安裝連接器和 Directory Server 外掛程式
現有使用者同步化

附註	詳細的安裝及配置說明請見本手冊稍後的章節。

安裝核心元件

安裝核心元件時，您將會安裝下列元件：

主控台：為執行所有的產品元件配置和管理工作提供一個集中位置
中央記錄程式：將所有稽核和錯誤記錄資訊匯集在一個中央位置
系統管理員：向連接器動態傳送配置更新並維護每個連接器的狀態

附註	有關安裝核心元件的說明收錄在第 3 章，「安裝核心程式」。

配置產品

安裝核心元件後，便可以使用主控台來初始配置統一要從一個集中位置進行同步化的目錄來源 (和部署的其他特性)。

附註	有關配置目錄來源的說明收錄在第 4 章，「配置核心資源」。

備妥 Directory Server

Directory Server 連接器支援 Sun Java System Directory Server 5 2004Q2。

在您安裝 Directory Server 連接器之前，您必須為每個即將同步化的已配置 Directory Server 主伺服器 (優先和輔助主伺服器兩者) 準備 Sun Java System Directory Server 來源。

您可以從主控台或從指令行使用 idsync prepds 子指令來執行此工作。

附註	有關準備目錄來源的說明收錄在準備 Directory Server。

安裝連接器和 Directory Server 外掛程式

可以安裝任意數量的連接器和 Directory Server 外掛程式，視您系統內已配置目錄的數量而定。

附註	主控台和安裝程式兩者都是使用目錄的標籤使連接器與要同步化的目錄聯結在一起。表格 2-3 說明 Identity Synchronization for Windows 的標籤命名慣例。

表格 2-3  標籤命名慣例

連接器類型	目錄來源標籤	子元件
Directory Server 連接器	根字尾或字尾/資料庫	Directory Server 外掛程式 為要同步化的根字尾在每個 Directory Server (主伺服器或用戶) 中安裝一個外掛程式。
AD 連接器	網域名稱	無
NT 連接器	網域名稱	(隨 Window NT 連接器自動安裝) 變更偵測器與密碼篩選器 DLL 子元件會在同一次安裝中一起被安裝。 您必須使用圖形化使用者介面 (GUI) 安裝程式來安裝 Windows NT 連接器。

附註	有關安裝及配置連接器和 Directory Server 外掛程式的說明收錄在第 5 章，「安裝連接器與 Directory Server 外掛程式」中。

現有使用者同步化

在安裝連接器、外掛程式、子元件後，您必須執行 idsync resync 指令行公用程式以驅動現有使用者的部署。這項指令使用管理者指定的比對規則來

連結現有項目 (如需瞭解連結的定義，請參閱連結使用者。)
將遠端目錄的內容填入空的目錄中
批量同步化兩個現有使用者個體群之間的屬性值 (包括密碼)，其中 Windows 和 Directory Server 目錄兩者內的項目都互相唯一識別並連結。

附註	有關同步化部署中現有使用者的說明收錄在第 6 章，「現有使用者同步化」。

---

配置概況

在安裝產品後，必須配置產品部署，其中包括：

配置要同步化的目錄和通用類別目錄
指定用於屬性修改和物件啟動/停止作用的同步化設定
為已配置目錄之間的 (選用) 使用者項目建立和刪除指定同步化設定值

本節提供下列配置元素概念的概觀：

目錄
配置目錄和通用類別目錄
同步化設定
物件類別
屬性和屬性對映
同步化使用者清單

附註	詳細的配置說明請見本手冊稍後的章節。

目錄

目錄代表：

一個或多個 Sun Java System Directory Server 之中的單一根字尾 (字尾/資料庫)
Windows 2000 或 Windows 2003 Active Directory 群中的單一 Active Directory 網域
單一 Windows NT 網域

對於每一目錄類型，可以配置任意數量的目錄。

配置目錄和通用類別目錄

Identity Synchronization for Windows 使用 Sun Java System Directory Server 配置目錄和 Active Directory 通用類別目錄作為儲存庫，於其中擷取 Directory Server 或 Active Directory 目錄拓樸以及這些目錄的綱目資訊。

同步化設定

使用同步化設定可控制物件建立、物件刪除、密碼和其他屬性修改在 Sun 和 Windows 目錄之間傳播的方向。同步化流程選項如下：

從 Sun 到 Windows
從 Windows 到 Sun
雙向

附註	在包含 Active Directory 和 Windows NT 的配置中，對於 Windows NT 和 Sun 之間以及 Active Directory 和 Sun 之間的建立或修改操作，不可能儲存一項指定不同的同步化設定的配置。

物件類別

配置資源時，您將根據資源的物件類別來指定要同步化的項目。物件類別確定了哪些屬性可用於針對 Directory Server 和 Active Directory 二者進行同步化。

附註	物件類別不適用於 Windows NT。

Identity Synchronization for Windows 支援兩種物件類型：

結構性物件類別：凡是依據所選的 Directory Server 建立或同步化的每一項目，都必須擁有至少一個結構性物件類別。請從下拉清單中選取結構性物件類別。
(在 Directory Server 上預設為 inetorgperson，在 Active Directory 上預設為 User)
輔助物件類別：
Directory Server 可讓您從「可用的輔助物件類別」清單窗格中選取一個或多個物件類別來擴大選取的結構性類別，這可為同步化提供額外的屬性。
Active Directory 對輔助物件類別的限制較多。所選結構性物件類別之所有有效輔助物件類別中的屬性都可以用於同步化。

附註	有關配置物件類別與屬性的詳細資訊，請參閱第 4 章，「配置核心資源」。

屬性和屬性對映

屬性保有關於使用者項目的描述性資訊。每個屬性都有一個標籤和一個或多個值，並遵循標準語法，該語法適用於可儲存為屬性值的資訊類型。

附註	可從主控台定義屬性。有關如何定義屬性的說明收錄在第 4 章。

屬性類型

Identity Synchronization for Windows 同步化重要和建立使用者屬性，如下所示：

重要屬性：當屬性被修改時，根據指定的修改同步化設定在 Sun 和 Windows 目錄之間進行同步化。
建立屬性：當建立新使用者時，根據指定的物件建立同步化設定在 Sun 和 Windows 目錄之間進行同步化。

必要建立屬性是於目標目錄中成功完成建立作業所需的「必要」屬性。例如，Active Directory 預期 cn 和 samaccountname 在發生建立事件時都具備有效值。在 Sun 端，如果將 inetorgperson 配置為 user物件類別，Identity Synchronization for Windows 將認為 cn 和 sn 是建立的必要屬性。

僅當從起始目錄傳播來的屬性中沒有值時，建立屬性預設才以預設值更新目標目錄建立屬性。(建立屬性的預設值可視其他屬性值而定。請參閱參數化的屬性預設值。)

附註	重要屬性會自動同步化為建立屬性，反之則不行。建立屬性只在使用者建立期間同步化。

參數化的屬性預設值

Identity Synchronization for Windows 可讓您利用其他建立或重要屬性，為建立屬性建立參數化的預設值。

若要建立參數化的預設屬性值，您必須在表示式字串中內嵌一個現有的建立或重要屬性名稱，並在其前後加上百分比符號 (%<attribute_name>%)。例如，homedir=/home/%uid% 或 cn=%givenName%. %sn%。

建立這些屬性預設值時：

您可以在建立表示式中使用多個屬性 (cn=%givenName% %sn%)，但 %<attribute_name>% 中的屬性必須只有單個值。
若 A=%B%，則 B 只能有一個預設值。
您可以使用反斜線符號 (\) 來表示引用 (例如，diskUsage=0\%)。
請勿使用具有循環代入條件的表示式 (例如，sn=%uid% 和 uid= %sn%)。

對映屬性

在您定義要同步化的屬性後，必須在 Sun 和 Windows 系統間對映屬性名稱。例如，必須對映 Sun inetorgperson 屬性到 Active Directory user 屬性。

附註	您對重要和建立屬性使用屬性對映，且必須為每個目錄類型中的所有「必要建立屬性」配置屬性對映。

同步化使用者清單

建立同步化使用者清單 (SUL) 可定義 Sun 和 Windows 目錄兩者中要同步化的指定使用者。這些定義可使平型目錄資訊樹 (DIT) 同步化到階層式目錄樹。

以下概念用於定義同步化使用者清單：

基本 DN (不適用於 Windows NT)：包含該 DN 中的所有使用者，除非另有更精確的 SUL 或是被篩選器排除。
篩選器：使用使用者項目中的屬性將使用者排除於同步化之外，或是將具有相同基本 DN 的使用者分散為多個 SUL。此篩選器使用的是 LDAP 篩選語法。
建立表示式 (不適用於 Windows NT)：在建立新使用者之處建構 DN，例如 cn=%cn%,ou=sales,dc=example,dc=com，其中 %cn% 將被更換為現有使用者項目中的 cn 值。建立表示式必須以基本 DN 結尾。

SUL 包含兩個定義，其中每個定義都確定根據目錄類型的拓樸概念要同步化的使用者群組。

一個定義確定要同步化的 Directory Server 使用者 (例如：ou=people, dc=example, dc=com)
另一個定義確定要同步化的 Windows 使用者 (例如：cn=users, dc=example, dc=com)

當您準備建立 SUL 時，請詢問自己下列問題：

要同步化哪些使用者？
要排除哪些使用者於同步化之外？
新使用者應建立於何處？

附註	有關建立 SUL 的詳細資訊，請參閱附錄 D。

---

遷移到 1 2004Q3 版

從 Identity Synchronization for Windows 1.0 版 (或是版本 1.0 SP1) 進行遷移所使用的程序與第一次進行 1 2004Q3 安裝使用的程序相似，除了少數例外。

附註	遷移程序收錄在第 7 章中。

在遷移到 Identity Synchronization for Windows 1 2004Q3 之前，應該注意以下事項：

安裝連接器之後，必須手動還原 Directory Server 連接器狀態檔案以及 Active Directory 和 NT 連接器物件快取檔案。請確定磁碟空間 (根據 /isw-home/persist 目錄和子目錄的大小來判定) 足以儲存各個 Active Directory 與 NT 連接器物件快取的複本。
您必須解除安裝所有的 1.0 和 1.0 SP1 版元件。

如果 1 2004Q3 版安裝程式找到版本 1.0 系統殘留的元件，可能會導致安裝於 Directory Server 的 Identity Synchronization for Windows 綱目和安裝在機器上的實際 Identity Synchronization for Windows 二進位碼檔案出現問題。

附註	有關詳細資訊，請參閱解除安裝 1.0 失敗時之處理。

您必須將 Identity Synchronization for Windows 1 2004Q3 元件安裝在與先前使用 1.0 版時的相同平台及硬體架構中。

---

與 Active Directory 同步化密碼

Windows 2000 的預設密碼策略在 Windows 2003 已經變更，以預設強制執行嚴格的密碼。

Identity Synchronization for Windows 服務一定會偶爾建立不需要密碼的項目 (例如，在從 Directory Server 到 Active Directory 執行 resync -c 操作時)。因此，如果在 Active Directory (於 Windows 2000 或 2003 上) 或是 Directory Server 上啟用了密碼策略，可能會導致使用者建立錯誤。

雖然您不必停用 Active Directory 或 Directory Server 上的密碼策略，但應該瞭解在不同系統上強制執行密碼策略的相關問題。

如果您要與 Windows 2003 Server 標準版或企業版上的 Active Directory 同步化密碼，那麼下列安裝資訊就非常重要：

如果您要在 Windows 上安裝，則可將 Active Directory 連接器安裝在 Solaris 上。

附註	Active Directory 連接器可與 Windows 2000 和 Windows 2003 Server 上的 Active Directory 配合使用。

在 Windows 2003 Server 上建立目錄來源、通用類別目錄與同步化使用者清單的程序與在 Windows 2000 上為 Active Directory 建立目錄來源、通用類別目錄與同步化使用者清單使用的程序相同。
在 Windows 2003 Server 上，預設的密碼策略會強制執行嚴格的密碼設定方法，但 Windows 2000 上的預設密碼策略卻不是這樣。

此章節的剩餘部分將如下組織：

強制執行密碼策略：若您必須對 Windows 或 Directory Server 強制執行密碼策略，請閱讀此章節提供的資訊，以瞭解密碼策略會如何影響 Active Directory 與 Directory Server 之間的同步化結果。
密碼策略範例：本節提供了好幾種不同情況下使用的密碼策略範例。

強制執行密碼策略

本節說明 Windows 2003 Server、Windows 2000 和 Sun Java System Directory Server 5 2004Q2 中用於 Active Directory 的密碼策略會如何影響同步化結果。

內容歸納如下：

概況
重要附註
密碼策略範例
錯誤訊息

概況

如若您於 Active Directory (或 Directory Server) 上建立的使用者符合該系統需要的密碼策略，則會建立使用者且正確地同步化於兩個系統間。若您在兩個系統上皆啟用密碼策略，則密碼必須符合兩個系統的策略，否則將無法同步建立使用者。

若您於 Active Directory 上啟用了密碼策略功能，則應該在 Directory Server 上啟用相似配置或相符的密碼策略。
若您無法在 Active Directory 與 Directory Server 上建立一致的密碼策略，則您應該在您認為是密碼與使用者建立的主導來源的一端啟用密碼策略。然而，仍然會因為某些密碼策略配置，而出現幾種會讓使用者建立作業無法如預期執行的情形。

重要附註

以下小節提供了有關密碼策略的重要資訊：

Directory Server 密碼策略
Active Directory 密碼策略
建立無密碼的帳號

Directory Server 密碼策略

如果您在 Active Directory 中以違反 Directory Server 密碼策略的密碼建立使用者，將在 Directory Server 中建立並同步化這些使用者，但建立的項目不會有密碼。直到新的使用者登入 Directory Server 中 (這將觸發隨需密碼同步化) 時才會設定密碼。此時，登入將會失敗，因為該密碼違反了 Directory Server 密碼策略。

有數種方法可以從這個情況恢復正常：

在使用者下次登入 Active Directory 時強制他們變更密碼
變更 Active Directory 上的使用者密碼，並確保新密碼符合 Directory Server 密碼策略的要求

您可能想要查看 Active Directory 與 Directory Server 上設定的密碼策略是否相同 (或盡可能相似)。

Active Directory 密碼策略

若您在 Active Directory 上建立不符合 Active Directory 密碼策略的使用者，則這些使用者將建立於 Directory Server。

若密碼不符合密碼策略需求，則 Active Directory 實際上只是「暫時」建立使用者，之後會刪除相關項目。因此，Active Directory 連接器會看到此暫時的 ADD 並在 Directory Server 端建立使用者。使用者將不會擁有 Directory Server 的密碼，所以沒有人可以用使用者身份登入。另外，這些項目將不會連結至 Active Directory 中的有效項目。如果刪除操作是從 Active Directory 同步化到 Directory Server，則暫時建立的使用者會被自動刪除。
在 Directory Server 上建立使用者時不使用密碼。對於建立使用者，Directory Server 不會強制執行密碼策略，除非這些項目包含密碼。

有數種方法可以從這個情況恢復正常。最好是將刪除操作從 Active Directory 同步化到 Directory Server。或者是將使用者從 Directory Server 中移除，然後使用符合 Active Directory 密碼策略的有效密碼將其新增至 Active Directory。這個方法能確保將使用者建立於 Directory Server，並正確連結。Directory Server 上的使用者在第一次登入 Active Directory 時，密碼將無效，因而必須變更密碼。

若您不從 Directory Server 刪除使用者，且在之後嘗試使用新密碼再次新增 Active Directory 使用者，則 Directory Server 的 ADD 作業將失敗，因為使用者已存在於 Directory Server 上。項目將不會連結在一起，且您將必須執行 idsync resync 指令來連結兩個獨立的帳號。
若您執行 idsync resync 指令，則必須為連結至 Directory Server 項目的 Active Directory 帳號重設密碼。重設密碼會使 Directory Server 密碼無效，在下次當這些使用者用其新的 Active Directory 密碼進行 Directory Server 驗證時，將強制執行依要求同步化作業以更新 Directory Server 密碼。

建立無密碼的帳號

在某些情況下（例如重新同步化時），Identity Synchronization for Windows 必須建立無密碼的帳號。

Directory Server    

當 Identity Synchronization for Windows 在 Directory Server 中建立無密碼的項目時，它會將 userpassword 屬性設為 {PSWSYNC}*INVALID*PASSWORD*。該使用者將無法登入 Directory Server，直到您重設密碼為止。這有一種例外情況，就是當您以 -i NEW_USERS 或 NEW_LINKED_USERS 選項執行 resync 時。在這種情況下，resync 會使新使用者的密碼失效，並在該使用者下次登入時觸發隨需密碼同步化。

Active Directory    

當 Identity Synchronization for Windows 在 Active Directory 中建立沒有密碼的項目時，它會將使用者的密碼設為隨機選取的強式密碼，此密碼符合 Active Directory 密碼策略的要求。在這種情況下，會記錄一則警告訊息，該使用者將無法登入 Active Directory，直到您重設密碼為止。

下表說明當您使用 Identity Synchronization for Windows 時可能會遇到的一些不同情況：

表格 2-4 說明密碼策略如何影響同步化。
表格 2-5 說明密碼策略如何影響重新同步化。

可這些資訊作為指南，以幫助確定密碼將保持同步化。(因為系統配置的不同，這些表格不可能說明全部可能的配置情況。)

表格 2-4  密碼策略如何影響同步化行為

情況			結果
建立使用者的原始位置	使用者符合的 密碼策略		使用者建立於
	Directory Server	Active Directory	Directory   Server	Active Directory	註解
Active Directory	是	是	是	是
	是	否	是   (請參閱註解)	否	使用者將於 Directory Server 中建立。不過，如果刪除操作是從 Active Directory 同步化到 Directory Server，則會立即刪除此使用者。 請參閱 Active Directory 密碼策略以瞭解詳細資訊。
	否	是	是	是	請參閱重要附註以瞭解詳細資訊。
	否	否	是   (請參閱註解)	否	使用者於 Directory Server 中建立。 不過，如果刪除操作是從 Active Directory 同步化到 Directory Server，則會立即刪除此使用者。 請參閱 Active Directory 密碼策略以瞭解詳細資訊。
Directory Server	是	是	是	是
	是	否	是	否
	否	是	否	否
	否	否	否	否

表格 2-5  密碼策略如何影響重新同步化行為

情況
Resync 指令	使用者符合的密碼策略		結果
	Directory Server	Active Directory
resync -c -o Sun	不適用	是	使用者將於 Active Directory 中建立，但該使用者無法登入。 請參閱建立無密碼的帳號以瞭解詳細資訊。
	不適用	否	使用者將於 Active Directory 中建立，但該使用者無法登入。 請參閱建立無密碼的帳號以瞭解詳細資訊。
resync -c -i NEW_USERS | NEW_LINKED_USERS	是	不適用	使用者將於 Directory Server 中建立，且在該使用者首次登入時將設定其密碼。 請參閱建立無密碼的帳號以瞭解詳細資訊。
	否	不適用	使用者將於 Directory Server 中建立，但他們無法登入，因為其密碼違反 Directory Server 密碼策略。 請參閱重要附註與建立無密碼的帳號以取得詳細資訊。
resync -c	是	不適用	使用者將於 Directory Server 中建立，但他們無法登入，直到在 Active Directory 或 Directory Server 中設定了新的密碼值為止。 請參閱建立無密碼的帳號以瞭解詳細資訊。
	否	不適用	使用者將於 Directory Server 中建立，但他們無法登入，直到在 Active Directory 或 Directory Server 中設定了新的密碼值為止。 請參閱建立無密碼的帳號以瞭解詳細資訊。

密碼策略範例

本節說明使用以下規格的 Active Directory 與 Directory Server 密碼策略範例的不同情況：

Active Directory：
強制密碼歷程記錄：20 天
最長密碼時間：30 天
最短密碼時間：0 天
密碼長度下限：7 個字元
密碼必須符合複雜性要求：啟用
Directory Server：
使用者必須在重設之後變更密碼
使用者可以變更密碼
在歷程記錄中保留 20 個密碼
密碼於 30 天後過期
在密碼過期前 5 天傳送警告
檢查密碼語法：密碼長度下限為 7 個字元

錯誤訊息

核取「核心」系統的中央記錄程式 audit.log 檔案，以取得以下錯誤訊息：

在依要求同步化作業期間因為密碼策略，無法更新 DS 的密碼：

WARNING 125 CNN100 hostname "DS Plugin (SUBC100):unable to update password of entry 惃n=John Doe,ou=people,o=sun? reason:possible conflict with local password policy"

附註	有關 Windows 2003 密碼策略的詳細資訊，請參閱 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp 有關 Directory Server 5 2004Q2 密碼策略的詳細資訊，請造訪 http://docs.sun.com/db/coll/DirectoryServer_04q2

---

配置 Windows 以進行 SSL 作業

如果您計畫要將密碼變更從 Directory Server 傳播至 Windows Active Directory 伺服器，您必須配置每一個 Active Directory 伺服器使其使用 SSL，且您必須安裝高度加密的套件。

如果已透過自動從 Microsoft Certificate Services Enterprise Root 憑證授權單位取得證書而在 Active Directory 中啟用 LDAP over SSL，則 Identity Synchronization for Windows Active Directory 連接器安裝程式即可自動在 Active Directory 連接器中設定 SSL，有關憑證授權單位的描述，請造訪：

http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078

不過，您可以利用更簡單的方式配置 LDAP over SSL，配置方式說明於以下 MSDN 技術注意事項中：

http://support.microsoft.com/default.aspx?scid=kb;en-us;321051

在這種情況下，如果您決定索取可靠的憑證來進行 SSL 通訊，則必須手動將憑證安裝在連接器的憑證資料庫中，請參照在 Active Directory 連接器中啟用 SSL中的說明。

---

安裝與配置決策

本章節提供有關安裝和配置的摘要資訊，並詳述您在佈署 Identity Synchronization for Windows 時所選擇的選項。請您在開始進行安裝程序前先備妥此資訊。本節包含下列內容：

核心元件安裝
核心元件配置
連接器和 Directory Server 外掛程式安裝
使用指令行公用程式

核心元件安裝

在您安裝核心元件時必須提供下列資訊：

配置目錄主機和通訊埠：指定 Directory Server 實例的配置目錄主機和通訊埠，Identity Synchronization for Windows 配置資訊將會儲存在此 Directory Server 實例上。

您可指定一個 SSL 通訊埠作為配置目錄通訊埠；如果您這麼做，就必須在安裝過程中將該通訊埠標示為 SSL 通訊埠。

附註	Identity Synchronization for Windows 不支援以 localhost 形式安裝的配置目錄。

根字尾：指定配置目錄的根字尾。所有的配置資訊都會儲存在此字尾下。
管理員的名稱與密碼：指定配置 Directory Serve 的憑證。
配置密碼：指定安全密碼以保護機密配置資訊的安全。
檔案系統目錄：指定要安裝 Identity Synchronization for Windows 的位置。您必須將核心元件安裝在與 Directory Server Administration Server 相同的目錄中。
未使用的通訊埠號：為 Message Queue 實例指定可用的通訊埠號碼。

核心元件配置

在您配置核心元件時必須提供下列資訊：

Sun Java System Directory 綱目伺服器：指定您想從配置目錄下載的 Directory Server 資料。
使用者物件類別 (僅限 Directory Server)：指定使用者物件類別，系統會使用此類別決定使用者類型。Identity Synchronization for Windows 會根據此物件類別衍生出一份屬性 (包括密碼屬性) 清單。這份清單的內容是從模式中移入的。
同步化屬性：指定要在 Directory Server 和 Windows 環境中同步化的使用者項目屬性。
修改、建立和刪除流程：指定想要在 Sun 和 Windows 系統間傳播修改、建立和刪除作業的方式。您可以選擇：
從 Sun 到 Windows
從 Windows 到 Sun
雙向

指定物件啟動和停止作用操作是否要在 Sun 與 Windows 系統間傳播，並且指定同步化這些物件的方法。

通用類別目錄：指定通用類別目錄 (Active Directory 拓樸和綱目資訊的儲存庫)。
Active Directory 綱目控制器：指定要從 Windows 通用類別目錄擷取之 Active Directory 模式來源的完全符合網域名稱 (FQDN)。
配置目錄：指定用來儲存 Identity Synchronization for Windows 配置的 Directory Server。
Active Directory 來源：指定用來同步化 Active Directory 網域的來源。
Windows NT 主要網域控制器：指定要同步化的 Windows NT 網域以及每一個網域之「主要網域控制器」的名稱。
同步化使用者清單：使用 LDAP DIT 和篩選條件資訊來指定要在 Directory Server、Active Directory 和 NT 上同步化的使用者。
Sun Java System Directory Server：指定用來儲存要同步化之使用者的 Directory Server 實例。

連接器和 Directory Server 外掛程式安裝

在您安裝連接器和 Directory Server 外掛程式時必須提供下列資訊：

配置目錄主機和通訊埠：指定 Directory Server 實例的配置目錄主機和通訊埠，Identity Synchronization for Windows 配置資訊將會儲存在此 Directory Server 實例上。
根字尾：指定配置目錄的根字尾。使用安裝核心元件時指定的根字尾。
管理員的名稱與密碼：指定配置 Directory Serve 的憑證。
配置密碼：指定安全密碼以保護機密配置資訊的安全。
檔案系統目錄：指定要安裝 Identity Synchronization for Windows 的位置。安裝在同一台電腦上的所有元件都必須具有相同的安裝路徑。
目錄來源：指定想要為其安裝連接器或外掛程式的目錄來源。

如果要安裝 Directory Server 和 Windows NT 連接器，就必須指定未使用的通訊埠。

如果要安裝 Directory Server 連接器和外掛程式，就必須指定對應於該連接器和外掛程式的 Directory Server 的主機、通訊埠和憑證。

使用指令行公用程式

Identity Synchronization for Windows 可讓您使用下列公用程式從指令行執行各式作業：

搭配使用 idsync 程序檔和下列子指令來執行 Identity Synchronization for Windows 指令行公用程式：
certinfo：根據您的配置和 SSL 設定值顯示憑證資訊
changepw：變更 Identity Synchronization for Windows 配置密碼
prepds：準備 Sun Java System Directory Server 來源供 Identity Synchronization for Windows 使用
printstat：列印安裝的連接器、系統管理員和 Message Queue 的狀態

您也可以使用 printstat 指令來顯示完成安裝過程必須執行之剩餘安裝和配置步驟的清單。

resetconn：將配置目錄中的連接器狀態重設為未安裝 (僅限於發生硬體或解除安裝程式故障時)
resync：重新同步化和連結現有使用者並在安裝過程中預先填寫目錄
startsync：啟動同步化
stopsync：停止同步化

附註	有關這些公用程式的詳細資訊，請參閱附錄 A。

您可以使用下列公用程式從 Identity Synchronization for Windows 1.0 或 1.0 SP1 遷移到 Identity Synchronization for Windows 1 2004Q3：
forcepwchg：要求為在 Identity Synchronization for Windows 1.0 版到 1 2004Q3 版遷移期間變更了其密碼的使用者變更密碼
importcnf：將匯出的 1.0 版 XML 配置文件匯入

附註	有關這些公用程式的詳細資訊，請參閱第 7 章。

---

安裝核對清單

這些核對清單的目的是協助您進行安裝。請將它們列印出來並在安裝 Identity Synchronization for Windows 前記錄下列資訊。

表格 2-6  核心元件安裝核對清單

必要資訊	項目
配置目錄主機和通訊埠
配置目錄的根字尾。(如 dc=example、dc=com)
要安裝 Identity Synchronization for Windows 的檔案系統目錄
配置 Directory Server 的管理員名稱和密碼
用來保護機密配置資訊的安全配置密碼
Message Queue 實例的通訊埠號

表格 2-7  核心元件配置核對清單  

必要資訊	項目
Active Directory 通用類別目錄 (如果有)
Directory Server 模式伺服器
Directory Server 使用者結構和輔助物件類別。
同步化屬性
使用者項目的建立流程
使用者項目的修改流程
啟動和停止作用使用者項目的流程
使用者項目的刪除流程
Sun Java System Directory Server 目錄來源
Active Directory 目錄來源
同步化使用者清單
Windows 來源篩選器建立表示式
Sun Java System 來源篩選器建立表示式

表格 2-8  連接器和 Directory Server 外掛程式安裝核對清單

必要資訊	項目
配置目錄主機和通訊埠
配置目錄的根字尾。
要安裝連接器的檔案系統目錄
配置 Directory Server 的管理員名稱和密碼
用來保護機密配置資訊的安全配置密碼
目錄來源
Directory Server 與 Windows NT 的未使用通訊埠
對應於連接器和外掛程式的 Directory Server 的主機、通訊埠和憑證

表格 2-9  連結使用者核對清單

必要資訊	項目
要連結的同步化使用者清單。
用來比對等同使用者的屬性
XML 配置檔案

表格 2-10  重新同步化核對清單

必要資訊	項目
同步化使用者清單選項。
同步化來源。
如果在目標目錄來源沒有找到對應使用者，是否要自動建立一個使用者項目？
是否要使 Directory Server 密碼無效？
是否僅同步化符合指定 LDAP 篩選器且位於選定 SUL 中的使用者？

上一頁      目錄      索引      下一頁

---

文件編號：817-7849。 Copyright 2004 Sun Microsystems, Inc. 版權所有。