Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 |
第 2 章
準備安裝在安裝 Identity Synchronization for Windows 1 2004Q3 或從 1.0 版遷移到 1 2004Q3 版之前,您應該熟悉安裝和配置程序。
本章描述以下程序說明並提供準備安裝產品時可能會有幫助的其他資訊。內容分作以下各節:
安裝需求本節描述 Identity Synchronization for Windows 的安裝需求,其中包含作業系統版本、修補程式和用於各平台的公用程式。
作業系統需求
下表說明這個版本的 Identity Synchronization for Windows 對作業系統的需求:
硬體需求
您的硬體 (所有平台) 必須符合下列最低需求,才能執行 Identity Synchronization for Windows:
Sun Java System 軟體需求
在安裝 Identity Synchronization for Windows 之前,必須安裝下列 Sun Java System 軟體元件:
修補程式的更正使 Identity Synchronization for Windows 1 2004Q2 的 Directory Server 5 2004Q2 可使用刪除功能。
如需有關上述修補程式以及如何將它們套用到您的 Directory Server 環境的詳細資訊,請參閱位於 Identity Synchronization for Windows 下載目錄中的 README.patch 檔案,路徑如下:
<download_root>/patches/directory/README.patch
有關在 Solaris 系統上安裝 Directory Server 5 2004Q2 可能需要的修補程式之最新資訊,請參閱《Sun Java System Directory Server 5 2004Q2 Installation and Tuning Guide》以及 《Sun Java System Directory Server 5 2004Q2 版本說明》,可於以下網站找到這些資訊:
安裝憑證
若要安裝 Identity Synchronization for Windows,您必須提供下列憑證:
- 配置目錄
- 同步化的 Directory Server
- Active Directory (詳細資訊,請參閱安裝核心程式。)
此外,您必須具有下列權限才能安裝 Identity Synchronization for Windows:
安裝概觀圖 2-1 說明了針對單一主機部署安裝產品的程序。
圖 2-1 在單一主機部署中安裝
某些元件必須以特定順序安裝,請確定您已仔細閱讀所有的安裝說明。
Identity Synchronization for Windows 提供一份「待辦事項」清單,整個安裝與配置過程中都會顯示這份清單。此資訊畫面會列出為了順利安裝及配置本產品您必須執行的所有步驟。
圖 2-2 Identity Synchronization for Windows 待辦事項清單
當您執行安裝及配置流程時,本程式會使清單上所有已完成的步驟呈現灰色 (正如您在圖 2-2 看到的一樣)。
本節的其他部分提供關於安裝和配置程序的概觀,主題分述如下:
安裝核心元件
安裝核心元件時,您將會安裝下列元件:
- 主控台:為執行所有的產品元件配置和管理工作提供一個集中位置
- 中央記錄程式:將所有稽核和錯誤記錄資訊匯集在一個中央位置
- 系統管理員:向連接器動態傳送配置更新並維護每個連接器的狀態
附註
有關安裝核心元件的說明收錄在第 3 章,「安裝核心程式」。
配置產品
安裝核心元件後,便可以使用主控台來初始配置統一要從一個集中位置進行同步化的目錄來源 (和部署的其他特性)。
附註
有關配置目錄來源的說明收錄在第 4 章,「配置核心資源」。
備妥 Directory Server
Directory Server 連接器支援 Sun Java System Directory Server 5 2004Q2。
在您安裝 Directory Server 連接器之前,您必須為每個即將同步化的已配置 Directory Server 主伺服器 (優先和輔助主伺服器兩者) 準備 Sun Java System Directory Server 來源。
您可以從主控台或從指令行使用 idsync prepds 子指令來執行此工作。
附註
有關準備目錄來源的說明收錄在準備 Directory Server。
安裝連接器和 Directory Server 外掛程式
可以安裝任意數量的連接器和 Directory Server 外掛程式,視您系統內已配置目錄的數量而定。
附註
主控台和安裝程式兩者都是使用目錄的標籤使連接器與要同步化的目錄聯結在一起。表格 2-3 說明 Identity Synchronization for Windows 的標籤命名慣例。
附註
有關安裝及配置連接器和 Directory Server 外掛程式的說明收錄在第 5 章,「安裝連接器與 Directory Server 外掛程式」中。
現有使用者同步化
在安裝連接器、外掛程式、子元件後,您必須執行 idsync resync 指令行公用程式以驅動現有使用者的部署。這項指令使用管理者指定的比對規則來
- 連結現有項目 (如需瞭解連結的定義,請參閱連結使用者。)
- 將遠端目錄的內容填入空的目錄中
- 批量同步化兩個現有使用者個體群之間的屬性值 (包括密碼),其中 Windows 和 Directory Server 目錄兩者內的項目都互相唯一識別並連結。
附註
有關同步化部署中現有使用者的說明收錄在第 6 章,「現有使用者同步化」。
配置概況在安裝產品後,必須配置產品部署,其中包括:
本節提供下列配置元素概念的概觀:
目錄
目錄代表:
對於每一目錄類型,可以配置任意數量的目錄。
配置目錄和通用類別目錄
Identity Synchronization for Windows 使用 Sun Java System Directory Server 配置目錄和 Active Directory 通用類別目錄作為儲存庫,於其中擷取 Directory Server 或 Active Directory 目錄拓樸以及這些目錄的綱目資訊。
同步化設定
使用同步化設定可控制物件建立、物件刪除、密碼和其他屬性修改在 Sun 和 Windows 目錄之間傳播的方向。同步化流程選項如下:
物件類別
配置資源時,您將根據資源的物件類別來指定要同步化的項目。物件類別確定了哪些屬性可用於針對 Directory Server 和 Active Directory 二者進行同步化。
Identity Synchronization for Windows 支援兩種物件類型:
- 結構性物件類別:凡是依據所選的 Directory Server 建立或同步化的每一項目,都必須擁有至少一個結構性物件類別。請從下拉清單中選取結構性物件類別。
(在 Directory Server 上預設為 inetorgperson,在 Active Directory 上預設為 User)- 輔助物件類別:
- Directory Server 可讓您從「可用的輔助物件類別」清單窗格中選取一個或多個物件類別來擴大選取的結構性類別,這可為同步化提供額外的屬性。
- Active Directory 對輔助物件類別的限制較多。所選結構性物件類別之所有有效輔助物件類別中的屬性都可以用於同步化。
附註
有關配置物件類別與屬性的詳細資訊,請參閱第 4 章,「配置核心資源」。
屬性和屬性對映
屬性保有關於使用者項目的描述性資訊。每個屬性都有一個標籤和一個或多個值,並遵循標準語法,該語法適用於可儲存為屬性值的資訊類型。
附註
可從主控台定義屬性。有關如何定義屬性的說明收錄在第 4 章。
屬性類型
Identity Synchronization for Windows 同步化重要和建立使用者屬性,如下所示:
必要建立屬性是於目標目錄中成功完成建立作業所需的「必要」屬性。例如,Active Directory 預期 cn 和 samaccountname 在發生建立事件時都具備有效值。在 Sun 端,如果將 inetorgperson 配置為 user物件類別,Identity Synchronization for Windows 將認為 cn 和 sn 是建立的必要屬性。
僅當從起始目錄傳播來的屬性中沒有值時,建立屬性預設才以預設值更新目標目錄建立屬性。(建立屬性的預設值可視其他屬性值而定。請參閱參數化的屬性預設值。)
參數化的屬性預設值
Identity Synchronization for Windows 可讓您利用其他建立或重要屬性,為建立屬性建立參數化的預設值。
若要建立參數化的預設屬性值,您必須在表示式字串中內嵌一個現有的建立或重要屬性名稱,並在其前後加上百分比符號 (%<attribute_name>%)。例如,homedir=/home/%uid% 或 cn=%givenName%. %sn%。
建立這些屬性預設值時:
對映屬性
在您定義要同步化的屬性後,必須在 Sun 和 Windows 系統間對映屬性名稱。例如,必須對映 Sun inetorgperson 屬性到 Active Directory user 屬性。
同步化使用者清單
建立同步化使用者清單 (SUL) 可定義 Sun 和 Windows 目錄兩者中要同步化的指定使用者。這些定義可使平型目錄資訊樹 (DIT) 同步化到階層式目錄樹。
以下概念用於定義同步化使用者清單:
SUL 包含兩個定義,其中每個定義都確定根據目錄類型的拓樸概念要同步化的使用者群組。
當您準備建立 SUL 時,請詢問自己下列問題:
- 要同步化哪些使用者?
- 要排除哪些使用者於同步化之外?
- 新使用者應建立於何處?
附註
有關建立 SUL 的詳細資訊,請參閱附錄 D。
遷移到 1 2004Q3 版從 Identity Synchronization for Windows 1.0 版 (或是版本 1.0 SP1) 進行遷移所使用的程序與第一次進行 1 2004Q3 安裝使用的程序相似,除了少數例外。
附註
遷移程序收錄在第 7 章中。
在遷移到 Identity Synchronization for Windows 1 2004Q3 之前,應該注意以下事項:
如果 1 2004Q3 版安裝程式找到版本 1.0 系統殘留的元件,可能會導致安裝於 Directory Server 的 Identity Synchronization for Windows 綱目和安裝在機器上的實際 Identity Synchronization for Windows 二進位碼檔案出現問題。
附註
有關詳細資訊,請參閱解除安裝 1.0 失敗時之處理。
與 Active Directory 同步化密碼Windows 2000 的預設密碼策略在 Windows 2003 已經變更,以預設強制執行嚴格的密碼。
Identity Synchronization for Windows 服務一定會偶爾建立不需要密碼的項目 (例如,在從 Directory Server 到 Active Directory 執行 resync -c 操作時)。因此,如果在 Active Directory (於 Windows 2000 或 2003 上) 或是 Directory Server 上啟用了密碼策略,可能會導致使用者建立錯誤。
雖然您不必停用 Active Directory 或 Directory Server 上的密碼策略,但應該瞭解在不同系統上強制執行密碼策略的相關問題。
如果您要與 Windows 2003 Server 標準版或企業版上的 Active Directory 同步化密碼,那麼下列安裝資訊就非常重要:
此章節的剩餘部分將如下組織:
強制執行密碼策略
本節說明 Windows 2003 Server、Windows 2000 和 Sun Java System Directory Server 5 2004Q2 中用於 Active Directory 的密碼策略會如何影響同步化結果。
內容歸納如下:
概況
如若您於 Active Directory (或 Directory Server) 上建立的使用者符合該系統需要的密碼策略,則會建立使用者且正確地同步化於兩個系統間。若您在兩個系統上皆啟用密碼策略,則密碼必須符合兩個系統的策略,否則將無法同步建立使用者。
重要附註
以下小節提供了有關密碼策略的重要資訊:
Directory Server 密碼策略
如果您在 Active Directory 中以違反 Directory Server 密碼策略的密碼建立使用者,將在 Directory Server 中建立並同步化這些使用者,但建立的項目不會有密碼。直到新的使用者登入 Directory Server 中 (這將觸發隨需密碼同步化) 時才會設定密碼。此時,登入將會失敗,因為該密碼違反了 Directory Server 密碼策略。
有數種方法可以從這個情況恢復正常:
您可能想要查看 Active Directory 與 Directory Server 上設定的密碼策略是否相同 (或盡可能相似)。
Active Directory 密碼策略
若您在 Active Directory 上建立不符合 Active Directory 密碼策略的使用者,則這些使用者將建立於 Directory Server。
- 若密碼不符合密碼策略需求,則 Active Directory 實際上只是「暫時」建立使用者,之後會刪除相關項目。因此,Active Directory 連接器會看到此暫時的 ADD 並在 Directory Server 端建立使用者。使用者將不會擁有 Directory Server 的密碼,所以沒有人可以用使用者身份登入。另外,這些項目將不會連結至 Active Directory 中的有效項目。如果刪除操作是從 Active Directory 同步化到 Directory Server,則暫時建立的使用者會被自動刪除。
- 在 Directory Server 上建立使用者時不使用密碼。對於建立使用者,Directory Server 不會強制執行密碼策略,除非這些項目包含密碼。
有數種方法可以從這個情況恢復正常。最好是將刪除操作從 Active Directory 同步化到 Directory Server。或者是將使用者從 Directory Server 中移除,然後使用符合 Active Directory 密碼策略的有效密碼將其新增至 Active Directory。這個方法能確保將使用者建立於 Directory Server,並正確連結。Directory Server 上的使用者在第一次登入 Active Directory 時,密碼將無效,因而必須變更密碼。
- 若您不從 Directory Server 刪除使用者,且在之後嘗試使用新密碼再次新增 Active Directory 使用者,則 Directory Server 的 ADD 作業將失敗,因為使用者已存在於 Directory Server 上。項目將不會連結在一起,且您將必須執行 idsync resync 指令來連結兩個獨立的帳號。
- 若您執行 idsync resync 指令,則必須為連結至 Directory Server 項目的 Active Directory 帳號重設密碼。重設密碼會使 Directory Server 密碼無效,在下次當這些使用者用其新的 Active Directory 密碼進行 Directory Server 驗證時,將強制執行依要求同步化作業以更新 Directory Server 密碼。
建立無密碼的帳號
在某些情況下(例如重新同步化時),Identity Synchronization for Windows 必須建立無密碼的帳號。
當 Identity Synchronization for Windows 在 Directory Server 中建立無密碼的項目時,它會將 userpassword 屬性設為 {PSWSYNC}*INVALID*PASSWORD*。該使用者將無法登入 Directory Server,直到您重設密碼為止。這有一種例外情況,就是當您以 -i NEW_USERS 或 NEW_LINKED_USERS 選項執行 resync 時。在這種情況下,resync 會使新使用者的密碼失效,並在該使用者下次登入時觸發隨需密碼同步化。
當 Identity Synchronization for Windows 在 Active Directory 中建立沒有密碼的項目時,它會將使用者的密碼設為隨機選取的強式密碼,此密碼符合 Active Directory 密碼策略的要求。在這種情況下,會記錄一則警告訊息,該使用者將無法登入 Active Directory,直到您重設密碼為止。
下表說明當您使用 Identity Synchronization for Windows 時可能會遇到的一些不同情況:
可這些資訊作為指南,以幫助確定密碼將保持同步化。(因為系統配置的不同,這些表格不可能說明全部可能的配置情況。)
表格 2-4 密碼策略如何影響同步化行為
情況
結果
建立使用者的原始位置
使用者符合的
密碼策略使用者建立於
Directory Server
Active Directory
Directory Server
Active Directory
註解
Active Directory
是
是
是
是
是
否
是
(請參閱註解)否
使用者將於 Directory Server 中建立。不過,如果刪除操作是從 Active Directory 同步化到 Directory Server,則會立即刪除此使用者。
請參閱 Active Directory 密碼策略以瞭解詳細資訊。
否
是
是
是
請參閱重要附註以瞭解詳細資訊。
否
否
是
(請參閱註解)否
使用者於 Directory Server 中建立。
不過,如果刪除操作是從 Active Directory 同步化到 Directory Server,則會立即刪除此使用者。請參閱 Active Directory 密碼策略以瞭解詳細資訊。
Directory Server
是
是
是
是
是
否
是
否
否
是
否
否
否
否
否
否
表格 2-5 密碼策略如何影響重新同步化行為
情況
Resync 指令
使用者符合的密碼策略
結果
Directory Server
Active Directory
resync -c -o Sun
不適用
是
使用者將於 Active Directory 中建立,但該使用者無法登入。
請參閱建立無密碼的帳號以瞭解詳細資訊。
不適用
否
使用者將於 Active Directory 中建立,但該使用者無法登入。
請參閱建立無密碼的帳號以瞭解詳細資訊。
resync -c -i NEW_USERS | NEW_LINKED_USERS
是
不適用
使用者將於 Directory Server 中建立,且在該使用者首次登入時將設定其密碼。
請參閱建立無密碼的帳號以瞭解詳細資訊。
否
不適用
使用者將於 Directory Server 中建立,但他們無法登入,因為其密碼違反 Directory Server 密碼策略。
resync -c
是
不適用
使用者將於 Directory Server 中建立,但他們無法登入,直到在 Active Directory 或 Directory Server 中設定了新的密碼值為止。
請參閱建立無密碼的帳號以瞭解詳細資訊。
否
不適用
使用者將於 Directory Server 中建立,但他們無法登入,直到在 Active Directory 或 Directory Server 中設定了新的密碼值為止。
請參閱建立無密碼的帳號以瞭解詳細資訊。
密碼策略範例
本節說明使用以下規格的 Active Directory 與 Directory Server 密碼策略範例的不同情況:
錯誤訊息
核取「核心」系統的中央記錄程式 audit.log 檔案,以取得以下錯誤訊息:
在依要求同步化作業期間因為密碼策略,無法更新 DS 的密碼:
WARNING 125 CNN100 hostname "DS Plugin (SUBC100):unable to update password of entry 惃n=John Doe,ou=people,o=sun? reason:possible conflict with local password policy"
附註
有關 Windows 2003 密碼策略的詳細資訊,請參閱 http://www.microsoft.com/resources/documentation/WindowsServ/2003/all/deployguide/en-us/dsscc_aut_xbby.asp
有關 Directory Server 5 2004Q2 密碼策略的詳細資訊,請造訪
配置 Windows 以進行 SSL 作業如果您計畫要將密碼變更從 Directory Server 傳播至 Windows Active Directory 伺服器,您必須配置每一個 Active Directory 伺服器使其使用 SSL,且您必須安裝高度加密的套件。
如果已透過自動從 Microsoft Certificate Services Enterprise Root 憑證授權單位取得證書而在 Active Directory 中啟用 LDAP over SSL,則 Identity Synchronization for Windows Active Directory 連接器安裝程式即可自動在 Active Directory 連接器中設定 SSL,有關憑證授權單位的描述,請造訪:
http://support.microsoft.com/default.aspx?scid=kb;en-us;q247078
不過,您可以利用更簡單的方式配置 LDAP over SSL,配置方式說明於以下 MSDN 技術注意事項中:
http://support.microsoft.com/default.aspx?scid=kb;en-us;321051
在這種情況下,如果您決定索取可靠的憑證來進行 SSL 通訊,則必須手動將憑證安裝在連接器的憑證資料庫中,請參照在 Active Directory 連接器中啟用 SSL中的說明。
安裝與配置決策本章節提供有關安裝和配置的摘要資訊,並詳述您在佈署 Identity Synchronization for Windows 時所選擇的選項。請您在開始進行安裝程序前先備妥此資訊。本節包含下列內容:
核心元件安裝
在您安裝核心元件時必須提供下列資訊:
核心元件配置
在您配置核心元件時必須提供下列資訊:
- Sun Java System Directory 綱目伺服器:指定您想從配置目錄下載的 Directory Server 資料。
- 使用者物件類別 (僅限 Directory Server):指定使用者物件類別,系統會使用此類別決定使用者類型。Identity Synchronization for Windows 會根據此物件類別衍生出一份屬性 (包括密碼屬性) 清單。這份清單的內容是從模式中移入的。
- 同步化屬性:指定要在 Directory Server 和 Windows 環境中同步化的使用者項目屬性。
- 修改、建立和刪除流程:指定想要在 Sun 和 Windows 系統間傳播修改、建立和刪除作業的方式。您可以選擇:
- 通用類別目錄:指定通用類別目錄 (Active Directory 拓樸和綱目資訊的儲存庫)。
- Active Directory 綱目控制器:指定要從 Windows 通用類別目錄擷取之 Active Directory 模式來源的完全符合網域名稱 (FQDN)。
- 配置目錄:指定用來儲存 Identity Synchronization for Windows 配置的 Directory Server。
- Active Directory 來源:指定用來同步化 Active Directory 網域的來源。
- Windows NT 主要網域控制器:指定要同步化的 Windows NT 網域以及每一個網域之「主要網域控制器」的名稱。
- 同步化使用者清單:使用 LDAP DIT 和篩選條件資訊來指定要在 Directory Server、Active Directory 和 NT 上同步化的使用者。
- Sun Java System Directory Server:指定用來儲存要同步化之使用者的 Directory Server 實例。
連接器和 Directory Server 外掛程式安裝
在您安裝連接器和 Directory Server 外掛程式時必須提供下列資訊:
- 配置目錄主機和通訊埠:指定 Directory Server 實例的配置目錄主機和通訊埠,Identity Synchronization for Windows 配置資訊將會儲存在此 Directory Server 實例上。
- 根字尾:指定配置目錄的根字尾。使用安裝核心元件時指定的根字尾。
- 管理員的名稱與密碼:指定配置 Directory Serve 的憑證。
- 配置密碼:指定安全密碼以保護機密配置資訊的安全。
- 檔案系統目錄:指定要安裝 Identity Synchronization for Windows 的位置。安裝在同一台電腦上的所有元件都必須具有相同的安裝路徑。
- 目錄來源:指定想要為其安裝連接器或外掛程式的目錄來源。
如果要安裝 Directory Server 和 Windows NT 連接器,就必須指定未使用的通訊埠。
如果要安裝 Directory Server 連接器和外掛程式,就必須指定對應於該連接器和外掛程式的 Directory Server 的主機、通訊埠和憑證。
使用指令行公用程式
Identity Synchronization for Windows 可讓您使用下列公用程式從指令行執行各式作業:
- 搭配使用 idsync 程序檔和下列子指令來執行 Identity Synchronization for Windows 指令行公用程式:
- resetconn:將配置目錄中的連接器狀態重設為未安裝 (僅限於發生硬體或解除安裝程式故障時)
- resync:重新同步化和連結現有使用者並在安裝過程中預先填寫目錄
- startsync:啟動同步化
- stopsync:停止同步化
附註
有關這些公用程式的詳細資訊,請參閱附錄 A。
- 您可以使用下列公用程式從 Identity Synchronization for Windows 1.0 或 1.0 SP1 遷移到 Identity Synchronization for Windows 1 2004Q3:
- forcepwchg:要求為在 Identity Synchronization for Windows 1.0 版到 1 2004Q3 版遷移期間變更了其密碼的使用者變更密碼
- importcnf:將匯出的 1.0 版 XML 配置文件匯入
附註
有關這些公用程式的詳細資訊,請參閱第 7 章。
安裝核對清單這些核對清單的目的是協助您進行安裝。請將它們列印出來並在安裝 Identity Synchronization for Windows 前記錄下列資訊。
表格 2-6 核心元件安裝核對清單
必要資訊
項目
配置目錄主機和通訊埠
配置目錄的根字尾。(如 dc=example、dc=com)
要安裝 Identity Synchronization for Windows 的檔案系統目錄
配置 Directory Server 的管理員名稱和密碼
用來保護機密配置資訊的安全配置密碼
Message Queue 實例的通訊埠號
表格 2-8 連接器和 Directory Server 外掛程式安裝核對清單
必要資訊
項目
配置目錄主機和通訊埠
配置目錄的根字尾。
要安裝連接器的檔案系統目錄
配置 Directory Server 的管理員名稱和密碼
用來保護機密配置資訊的安全配置密碼
目錄來源
Directory Server 與 Windows NT 的未使用通訊埠
對應於連接器和外掛程式的 Directory Server 的主機、通訊埠和憑證
表格 2-9 連結使用者核對清單
表格 2-10 重新同步化核對清單
必要資訊
項目
同步化使用者清單選項。
同步化來源。
如果在目標目錄來源沒有找到對應使用者,是否要自動建立一個使用者項目?
是否要使 Directory Server 密碼無效?
是否僅同步化符合指定 LDAP 篩選器且位於選定 SUL 中的使用者?