Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 |
第 4 章
配置核心資源當您安裝了 Identity Synchronization for Windows 核心程式 (詳如第 3 章之說明) 後,必須先立即配置核心資源。
本章解釋如何使用「主控台」新增及配置各項資源,內容分作以下各節:
配置概況圖 4-1 說明了為部署配置核心資源時所需使用的步驟。
圖 4-1 為部署配置核心資源
開啟 Identity Synchronization for Windows 主控台
附註
如果您尚未登入 Sun Java System Server 主控台,請回到 (更多資訊...) 閱讀說明。
Sun Java System Server 主控台視窗 (圖 4-2) 列出了您控制下的所有伺服器,並提供了您的系統的相關資訊。
圖 4-2 Sun Java System伺服器主控台
若要開啟 Identity Synchronization for Windows 主控台:
- 在「伺服器與應用程式」標籤上,從導覽樹中選取包含 Identity Synchronization for Windows 實例所屬的「伺服器群組」的主機名稱節點。
- 展開「伺服器群組」節點,選取其中的 Identity Synchronization for Windows 節點 (請參閱圖 4-3)。
圖 4-3 展開伺服器群組
資訊畫面改為提供有關 Identity Synchronization for Windows 及您的系統的資訊 (示例請參閱圖 4-4)。
圖 4-4 Identity Synchronization for Windows 資訊畫面
- 按一下「開啟」按鈕 (位於畫面右上角)。
- 系統會提示您輸入您在安裝核心時所指定的配置密碼 (請參閱 (更多資訊...) )。輸入密碼後按一下「確定」。
Identity Synchronization for Windows 主控台隨即顯示,畫面如下:
圖 4-5 Identity Synchronization for Windows 主控台:「工作」標籤
此視窗含有三個標籤及一個狀態列:
- 工作 (預設):使用此標籤來停止或啟動 Sun 與 Windows 系統間的同步操作。(有關啟動及停止服務的資訊收錄在第 6 章,「現有使用者同步化」。)
附註
啟動及停止同步服務不等於啟動及停止 Windows 服務,請勿混淆。
若要啟動或停止 Windows 服務,必須透過 Windows 控制台進行,步驟是選取「開始」>「控制台」>「系統管理工具」>「電腦管理」>「服務」。
- 配置:透過此標籤來配置要同步化的系統。
- 狀態:使用此標籤來執行下列動作:
- 監視系統元件 (如連接器等) 的狀態。
- 於配置及同步化過程中檢視 Identity Synchronization for Windows 所產生的稽核及錯誤日誌。
- 更新與檢查「待辦事項」清單的安裝和配置。
- 狀態列:由此處檢查系統的大致狀態。
附註
有關「狀態」標籤的詳細資訊,請參閱第 10 章。
- 選取「配置」標籤 (請參閱圖 4-6)。
圖 4-6 Identity Synchronization for Windows 主控台:「配置」標籤
「配置」畫面包含以下標籤:
您必須配置至少一個 Sun Java System Directory Server 目錄來源,以及至少一個 Windows 伺服器目錄來源 (Active Directory 或 Windows NT 之一)。請前進至下一節,瞭解操作說明。
建立目錄來源請務必依照下列順序建立目錄來源 (根據您要同步化的來源而定):
在導覽樹中選取 「目錄來源」節點,即出現「目錄來源」畫面 (請參閱圖 4-7)。
圖 4-7 進入「目錄來源」畫面
建立 Sun Java System 目錄來源
請依下列步驟新建立一個 Sun Java System 目錄來源:
- 按一下「新 Sun 目錄來源」按鈕呼叫執行「定義 Sun Java System 目錄來源」精靈。
圖 4-8 選取一個根字尾
程式會查詢已知的一組配置目錄來源,並將現有的根字尾 (在此亦稱作命名上下文) 顯示在清單窗格中。
預設情況下,程式知道您將產品安裝在哪個配置目錄,因此清單窗格會顯示出配置目錄已知的根字尾。
- 從清單窗格中選取使用者所在的根字尾。(如果列出有數個根字尾,請選取您的使用者所在的根字尾。) 按一下「下一步」繼續進行步驟 3。
如果您要同步化的根字尾與在 Identity Synchronization for Windows 中註冊的配置目錄不相關,則必須指定一個新的配置目錄,步驟如下:
- 按一下「配置目錄」按鈕來指定新的配置目錄。
- 出現「配置目錄」對話方塊 (圖 4-9) 後,按一下「開啟新檔」按鈕開啟「新配置目錄」對話方塊。
圖 4-9 選取新的配置目錄
- 輸入下列資訊後,按一下「確定」儲存變更並關閉該對話方塊。
- 主機:請輸入完整合格的主機名稱。
例如:machine1.example.com
- 通訊埠:輸入有效且未使用的 LDAP 通訊埠埠號。(預設值為 389。)
如果 Identity Synchronization for Windows 透過 SSL (安全資料傳輸層) 通訊埠與配置目錄進行通訊,請啟用「此通訊埠使用 SSL」方塊。
- 使用者 DN:輸入您的管理員 (連結) 辨別名稱。
例如:
uid=admin,ou=Administrators,ou=TopologyManagement,o=NetscapeRoot
- 密碼:輸入您的管理員密碼。
精靈會查詢您所指定的配置目錄,以確定受該目錄管理的所有目錄伺服器。
- 按一下「確定」關閉「配置目錄」對話方塊,則新選取的配置目錄之根字尾即顯示在清單窗格中。
預設情況下,Directory Server 會建立一個前綴與電腦的 DNS 網域項目元件相對應的根字尾。其使用的字尾如下:
dc=<您電腦的_DNS_網域_名稱>
亦即,假設您的電腦網域為 example.com,便應該將伺服器的字尾配置成 dc=example, dc=com 。依據選定字尾而命名的網域項目必須已存在於目錄中。
- 選取根字尾,然後按一下「下一步」。
出現「指定喜好的伺服器」畫面 (請參閱圖 4-10)。
圖 4-10 指定喜好的伺服器
Identity Synchronization for Windows 使用喜好的 Directory Server 來偵測所有 Directory Server 主伺服器所做的變更。該喜好的伺服器同時也是將 Windows 系統上所做的變更套用到 Sun Java System 目錄系統之主要位置。
如果喜好的伺服器發生問題,輔助伺服器可暫時儲存這些變更,直到喜好的伺服器再度上線。
- 使用下列一個方法來選取喜好的伺服器:
- 啟用「選擇一個已知的伺服器」按鈕,接著從下拉清單中選取伺服器名稱。
如要讓 Directory Server 透過 SSL 進行通訊,請啟用「安全通訊使用 SSL」方塊。不過,當您啟用此功能時,必須在安裝後執行某些額外的設定步驟。有關詳細資訊,請參閱在 Directory Server 中啟用 SSL。
- 啟用「透過輸入完整合格的主機名稱和通訊埠指定伺服器」按鈕,並於畫面上的伺服器「主機名稱」及「通訊埠」文字欄位中輸入資訊。
如果您指定的通訊埠使用 SSL,請啟用「此通訊埠使用 SSL」方塊。
- 按一下「下一步」會出現「指定輔助伺服器」畫面。
圖 4-11 指定輔助伺服器
- 若要指定輔助 Directory Server,請從下拉清單中選取伺服器名稱或手動輸入該資訊 (程序與先前指定喜好的伺服器時相同),然後按一下「下一步」。
- 如果不想使用輔助伺服器,請直接按一下「下一步」。
附註
- 請勿在同一 Sun 目錄來源中將喜好的和輔助伺服器設為相同的主機名稱及通訊埠。
- 當您啟用安全通訊埠功能時,必須在安裝後執行額外的設定步驟。有關詳細資訊,請參閱在 Directory Server 中啟用 SSL。
出現如下「指定進階安全選項」畫面:
圖 4-12 指定進階安全選項
在安裝過程中,您必須在使用者即將連結或要變更密碼的各 Directory Server (任何主伺服器、複本伺服器或集線器) 上安裝 Directory Server 外掛程式。
當 Directory Server 外掛程式要將密碼及屬性同步化至 Active Directory 時,必須連結到 Active Directory 以搜尋使用者及其密碼。此外,外掛程式會將日誌訊息寫入中央日誌及 Directory Server 的日誌。在預設下這些通訊作業不會透過 SSL 進行。
- 如果想要使用安全的 SSL 通訊,請詳讀所提供的警告說明,然後再啟用下列一個或兩個選項:
- 若要在 Directory Server 外掛程式與 Active Directory 之間使用 SSL 安全通訊,請啟用「使用外掛程式的 SSL 與 Active Directory 進行通訊」方塊。
附註
- 如果啟用這些功能,需在安裝後進行額外的設定。請參閱第 11 章,「配置安全性」以瞭解詳細資訊。
- 您可以使用 idsync certinfo 指令行公用程式來確定應將哪些憑證新增到各個 Directory Server 外掛程式及/或連接器憑證資料庫。請參閱使用 certinfo。
- 如果您的主要及輔助 Directory Server 屬於多主伺服器複製 (MMR) 部署的一部分,請參閱附錄 E,「複製環境的安裝註解」中的詳細說明。
- 完成「指定進階安全選項」畫面後,按一下「完成」。
程式便會將所選的目錄來源加入「目錄來源」下的導覽樹中,並顯示「現在備妥 Directory Server?」對話方塊。
您必須準備 Directory Server 以供 Identity Synchronization for Windows 使用。您可以選擇立即或稍後執行這項工作,但無論如何您必須在安裝連接器之前準備 Directory Server。(有關安裝連接器的說明收錄在第 5 章)。
- 如要立即準備 Directory Server,請按一下「是」開啟精靈,然後進行下一節的操作,準備 Directory Server。
- 如要稍後再執行這一過程,請按一下「否」並繼續進行建立 Active Directory 來源。
準備 Directory Server
本節說明如何準備 Sun Java System Directory Server 來源以供 Identity Synchronization for Windows 使用。
準備 Directory Server
附註
- 除了使用主控台以外,亦可使用 idsync prepds 指令行公用程式來準備 Directory Server。有關詳細資訊,請參閱使用 prepds。
- 若要使用 idsync prepds 指令行公用程式來準備 Directory Server,您必須知道所要使用的主機及其字尾,且必須具備目錄管理員的憑證。
您可以使用「備妥 Directory Server」精靈 (圖 4-13) 來準備 Directory Server。
圖 4-13 輸入您的目錄管理員憑證
若要存取此精靈,請使用下列一個方法:
若要準備 Directory Server 來源:
- 輸入目錄管理員帳戶的下列憑證:
- 完成後按一下「下一步」,「指定準備配置」畫面出現 (圖 4-14)。
圖 4-14 指定準備配置
閱讀警告訊息後,決定是否立即或稍後建立 Directory Server 索引。
- 出現「準備狀態」畫面,提供有關 Directory Server 準備進度的資訊。
- 回到「主控台」的「配置」標籤。選取導覽樹中的 Sun 目錄來源節點來檢視「Sun 目錄來源」畫面 (請參閱圖 4-15)。
圖 4-15 Sun 目錄來源畫面
透過此畫面可執行以下工作:
- 編輯伺服器:按一下此按鈕再度開啟「定義 Sun Java System 目錄來源」畫面,您可從中變更任何一項伺服器配置參數。必要時,請檢閱建立 Sun Java System 目錄來源的說明。
- 備妥 Directory Server:按一下此按鈕,依照針對準備 Directory Server 的說明來準備 Directory Server。
如果在初步準備 Directory Server 後發生任何變更 (例如,刪除索引或遺失 Retro-Changelog 資料庫),您可以重新準備伺服器。
附註
如果您為喜好的 Sun 目錄來源重建 Retro-Changelog 資料庫,則預設的存取控制設定將不允許 Directory Server 連接器讀取資料庫內容。
若要還原新的 Retro-Changelog 資料庫之存取控制設定,請執行 idsync prepds,或在「主控台」中選取適當的 Sun 目錄來源,然後按一下「備妥 Directory Server」按鈕。
- 重新同步化間隔:指定您希望 Directory Server 連接器檢查有否變更的間隔長短。(預設值為 1000 毫秒。)
- 在您要同步化的 Sun Java System Directory Server 企業中,針對各個使用者個體群分別新增 Directory Server 目錄來源。
新增完畢後,您必須至少建立一個 Windows 目錄來源:
- 若要建立 Active Directory 目錄來源,請接著看下一節建立 Active Directory 來源。
- 若要建立 Windows NT 目錄來源,請接著看建立 Windows NT SAM 目錄來源。
建立 Active Directory 來源
您應為網路中需要同步化的每個 Windows 網域新增一個 Active Directory 目錄來源。
每個 Active Directory 部署至少會有一個通用類別目錄知道全 Active Directory 網域內的所有通用資訊。
您的網路中如有 Windows Active Directory 伺服器,請執行以下步驟:
- 在導覽樹中選取「目錄來源」節點,然後按一下「目錄來源」畫面中的「新 Active Directory 來源」按鈕。
出現「Windows 通用類別目錄」對話方塊 (圖 4-16)。
圖 4-16 Windows 通用類別目錄
- 輸入以下資訊,然後按一下「確定」:
- 即會顯示「定義 Active Directory 來源」精靈,如下所示:
圖 4-17 定義 Active Directory 來源精靈
此精靈會查詢 Active Directory 通用類別目錄以確定尚有哪些其他網域存在,並於「網域」清單窗格中顯示查詢到的網域。
- 從清單窗格中選取名稱來指定 Active Directory 網域,按一下「確定」,然後進行步驟 5。
如果清單內未顯示您要使用的網域,您必須使用下列步驟,將知道該網域的通用類別目錄加入:
- 出現「指定憑證」畫面後,複查「使用者 DN」欄位的值。
圖 4-19 指定此 Active Directory 來源的憑證
如果程式未在「使用者 DN」欄位中自動輸入管理員的辨別名稱 (或者您不想使用管理員的憑證),請手動輸入使用者 DN 及密碼。
配置 Active Directory 來源時,您必須指定可供 Active Directory 連接器用來連接 Active Directory 的使用者名稱及密碼。
- 按一下「下一步」開啟「指定網域控制器」畫面。
圖 4-20 指定網域控制器
利用此畫面選取指定網域內所要同步化的控制器。(網域控制器在概念上類似於 Directory Server 的喜好的伺服器。)
如果所選的 Active Directory 網域含有多個網域控制器,請選取具有主要網域控制器 FSMO 角色之網域控制器進行同步化。
預設情況下,在所有網域控制器所做的密碼變更會立刻複製到主要網域控制器 FSMO 角色所有者,而如果您選取該網域控制器,Identity Synchronization for Windows 便會立即將密碼變更同步傳遞至 Directory Server。
在某些部署中,AvoidPdcOnWan 屬性可能會因為網路與 PDC 的「距離」太遠而設在 Windows 登錄中,以避免同步化作業過度延遲。(請參閱 Microsoft Knowledge Base 文章 232690,瞭解詳細資訊。)
- 從下拉清單中選取網域控制器。
- 如果希望 Identity Synchronization for Windows 連接器透過安全通訊埠與網域控制器進行通訊,請啟用「使用安全的通訊埠」方塊。
附註
如果您使用 Microsoft 憑證伺服器,程式會自動在 Active Directory 連接器中安裝 CA 憑證。反之,則您必須手動將 CA 憑證新增到 Active Directory 連接器中 (請參閱在 Active Directory 連接器中啟用 SSL)。此外,如果您在初步配置後變更同步化傳遞方向,上述程序亦同樣適用。
- 完成後按一下「下一步」。
出現「指定防故障備用控制器」畫面 (請參閱圖 4-21)。您可透過此畫面來指定任意數量的防故障備用網域控制器。
圖 4-21 指定防故障備用控制器
Active Directory 連接器只會與一台 Active Directory 網域控制器進行通訊,且 Identity Synchronization for Windows 不支援該連接器所套用的防故障備用變更。不過,Directory Server 外掛程式在驗證對 Directory Server 的密碼變更時,能夠與任意數量的網域控制器進行通訊。
如果當 Directory Server 嘗試連線至 Active Directory 網域控制器時該網域控制器無法使用,Directory Server 會重複嘗試連線至指定的防故障備用網域控制器。
- 選取「防故障備用伺服器」清單窗格中所列的一個或多個伺服器名稱 (或者按一下「全選」按鈕指定清單中所有的伺服器),然後按一下「下一步」。
- 出現「指定進階安全選項」畫面 (圖 4-22)。
僅當您啟用「指定網域控制器」畫面的「安全通訊使用 SSL」方塊時,「需要可信任的 SSL 憑證」選項才處於活動狀態 (可供選取) (請參閱圖 4-20)。
圖 4-22 指定進階安全選項
- 若停用「需要可信任的 SSL 憑證」方塊 (預設設定),則 Active Directory 連接器將透過 SSL 連線到 Active Directory,且不會驗證它是否信任 Active Directory 所傳遞的憑證。
停用此選項可簡化設定程序,因為您不必將 Active Directory 憑證放到 Active Directory 憑證資料庫中。
- 若啟用「需要可信任的 SSL 憑證」方塊,Active Directory 連接器將透過 SSL 連線到 Active Directory,而且必須驗證它是否信任 Active Directory 所傳遞的憑證。
附註
您必須將 Active Directory 憑證加入 Active Directory 連接器的憑證資料庫中。有關說明,請參閱將 Active Directory 憑證加入連接器的憑證資料庫中。
- 完成「進階安全選項」畫面後,按一下「完成」按鈕。
程式便會將新指定的 Active Directory 目錄來源新增到導覽樹的「目錄來源」下。
- 選取 Active Directory 目錄來源節點來檢視「Active Directory 來源」畫面
(圖 4-23)。圖 4-23 Active Directory 來源畫面
透過此畫面可執行以下工作:
- 編輯控制器:按一下此按鈕可再度開啟「指定網域控制器」畫面,從中可變更任何網域控制器配置參數。必要時,請檢閱對建立 Active Directory 來源的說明。
- 重新同步化間隔:指定您希望 Active Directory 連接器檢查有否變更的間隔長短。(預設值為 1000 毫秒。)
- 目錄來源憑證:變更指定的「使用者 DN」及/或密碼。
當 Active Directory 目錄來源建立完成後:
- 若要建立 Windows NT 目錄來源,請接著看下一節建立 Windows NT SAM 目錄來源.。
- 若要建立並對映所要同步化的屬性,請接著看選取與對映使用者屬性。
建立 Windows NT SAM 目錄來源
若要在 Windows NT 平台上部署 Identity Synchronization for Windows,請依下列步驟指定 NT SAM 目錄來源:
- 在導覽樹中選取「目錄來源」節點,然後按一下「新 Windows NT SAM 目錄來源」按鈕。
圖 4-24 目錄來源畫面
- 出現「定義 Windows NT SAM 目錄來源」畫面 (請參閱圖 4-25) 後,請依照說明來尋找 Windows NT 網域名稱,並在「網域」欄位中輸入唯一的 NT 目錄來源網域名稱。完成後按一下「下一步」。
圖 4-25 指定 Windows NT SAM 網域名稱
- 出現「指定主要網域控制器的電腦名稱」畫面 (請參閱圖 4-26) 後,請依照說明來尋找「主要網域控制器」的電腦名稱,並在「電腦名稱」欄位中輸入資訊。
圖 4-26 指定主要網域控制器的名稱
- 按一下「完成」。
程式便會將新指定的 Windows NT SAM 目錄來源新增到導覽樹的「目錄來源」下。選取新目錄來源節點,檢視「Windows NT SAM 來源」畫面 (請參閱圖 4-27)。
圖 4-27 Windows NT SAM 目錄來源畫面
透過此畫面可執行以下工作:
- 編輯:按一下此按鈕可再度開啟「指定網域控制器」畫面,從中可變更任何網域控制器配置參數。必要時,請檢閱對建立 Active Directory 來源.的說明。
- 重新同步化間隔:指定您希望 Identity Synchronization for Windows 按怎樣的頻率檢查 Windows NT 變更。(預設值為 1000 毫秒。)
- 分別為您的網路中的各台 Windows NT 電腦新增 Windows NT 目錄來源。
當 Windows NT SAM 目錄來源建立完成後,您即可著手建立及對映所要同步化的屬性,請接著看選取與對映使用者屬性。
刪除目錄來源
如果您必須刪除目錄來源,請參照以下步驟:
選取與對映使用者屬性當您建立及配置好 Directory Server 與 Windows 目錄來源後,必須決定您要同步化的使用者屬性,並將這些屬性進行系統間對映。
本節資訊的結構如下:
選取與對映屬性
這些屬性分作兩種:
本節說明如何選取需同步化的使用者屬性及這些屬性的對映方法 (一對一),以便於在指定 Directory Server 的屬性時,能使對等屬性顯示在 Active Directory 及/或 Windows NT 環境中 (反之亦然),並使附隨的 Windows 屬性值同步化。
若要選取及對映需同步化的屬性:
- 選取導覽樹頂端的 Identity Synchronization for Windows 節點 (請參閱圖 4-29)。
圖 4-29 屬性標籤
- 選取「屬性」標籤並按一下「開啟新檔」按鈕。
出現「定義重要屬性對映」對話方塊 (圖 4-30)。利用此對話方塊將屬性從 Directory Server 對映到您的 Windows 系統 (Active Directory 及/或 Windows NT)。
圖 4-30 定義重要屬性對映
附註
建立屬性中有哪些屬於 Directory Server (或 Active Directory) 的強制性屬性,視 Sun 端 (或 Active Directory 端) 使用者項目的 objectclass 配置而定。
- 從 Sun Java System 屬性下拉清單中選取屬性(例如 cn),然後從 Active Directory 屬性及/或 Windows NT SAM 屬性下拉功能表中選取對等的屬性。
- 完成後按一下「確定」。
完成後的同步化的屬性表大致如同以下範例所示,其中顯示 userpassword、cn 及 telephonenumber Directory Server 屬性對映至 unicodepwd、cn 及 telephonenumber Active Directory 屬性。
圖 4-31 完成後的同步化的屬性表
附註
程式會自動將 inetOrgPerson 當作 Sun Java System Directory Server 的預設物件類別,當您指定通用類別目錄時即已載入 Active Directory 模式。除非您要變更預設模式,否則請勿使用「載入模式」按鈕。
若要變更預設的模式來源,請參閱變更綱目來源的說明。
建立參數化的預設屬性值
Identity Synchronization for Windows 可讓您利用其他建立或重要屬性,建立參數化的預設屬性值。
若要建立參數化的預設屬性值,您必須在表示式字串中內嵌現有的建立或重要屬性名稱 - 前後皆加上百分比符號 (%<attribute_name>%)。例如,homedir=/home/%uid% 或 cn=%givenName% %sn%。
當您建立這些屬性值時:
變更綱目來源
程式會自動提供預設的綱目來源,但您也能變更預設綱目。
請依下列程序變更預設的綱目來源:
- 按一下「定義重要屬性對映」對話方塊中的「載入綱目」按鈕。
出現「選取綱目來源」畫面 (圖 4-32)。
圖 4-32 選取綱目來源
利用此畫面來指定您要從哪一個 Sun Java System Directory Server 綱目伺服器讀取綱目。此綱目內含在您的系統上可用的物件類別及用來定義系統使用者可用的屬性之物件類別。
預設情況下,程式會將您的配置目錄新增至「Sun Java System 目錄綱目伺服器」欄位。
- 若要選取不同的伺服器,按一下「選擇」按鈕。
出現「選取 Sun 綱目主機」對話方塊。此對話方塊包含了配置目錄清單,這些目錄則收集了您的目錄來源之相關管理資訊。
您可以從此對話方塊:
- 從清單中選取伺服器,完成後按一下「確定」。(一般而言,您可以選擇其中一台 Sun 同步化主機作為綱目來源。)
- 按一下「下一步」按鈕,將出現「選取結構性與輔助物件類別」畫面 (圖 4-33)。
圖 4-33 選取結構性與輔助物件類別
利用此畫面指定要同步化的物件類別,步驟如下:
- 結構性物件類別:凡是依據所選的 Directory Server 建立或同步化的每一項目,都必須擁有至少一個結構性物件類別。
- 輔助物件類別:這類物件類別用於強化所選的結構性類別,並提供要同步化的其他屬性。
若要指定結構性與輔助物件類別:
- 從下拉清單中選取結構性物件類別。(預設值是 inetorgperson。)
- 從「可用的輔助物件類別」清單窗格中選取一個或多個物件類別,然後按一下「新增」將選取的項目加入「所選的輔助物件類別」清單窗格。
所選的物件類別會確定哪些 Directory Server 來源屬性為可供選用的重要屬性或建立屬性。物件類別也會確定強制性的建立屬性。
若要刪除「所選的輔助物件類別」清單中的選項,請按一下該物件類別名稱,然後按一下「移除」按鈕。
- 完成後按一下「完成」,程式隨即載入模式及所選的物件類別。
於系統間傳播使用者屬性建立並對映要同步化的使用者屬性後,您必須指示 Identity Synchronization for Windows 如何在 Sun 與 Windows 系統間傳播 (傳遞) 屬性的建立、修改及刪除。
預設情況下,Identity Synchronization for Windows
本節說明如何配置系統間的屬性同步化作業。內容歸納如下:
指定物件建立的傳遞方向
請依照下列步驟指定物件建立於 Directory Server 與 Active Directory 系統間的傳遞方向:
- 按一下「物件建立」標籤。
圖 4-34 選取與傳遞建立項目
- 您可以依照以下方法啟用或停用建立項目的傳遞方向:
- 如要新增、編輯或刪除要於系統間同步化的建立屬性,請按一下位於所選項下方的「建立屬性」按鈕。
出現「建立屬性對映與數值」對話方塊(請參閱圖 4-35 和圖 4-36)。
圖 4-35 建立屬性對映與數值:Directory Server 至 Windows
圖 4-36 建立屬性對映與數值:Windows 到 Directory Server
您可以透過任一對話方塊來執行下列動作:
- 指定新的建立屬性 (更多資訊...)
附註
為滿足有關使用者物件類別的必需屬性之模式限制,可能需要在使用者建立過程中指定於系統間傳遞的其他屬性。
若將必要屬性指定為修改屬性,則不需要其他屬性 (如選取與對映使用者屬性一節所述)。
- 編輯現有屬性 (請參閱 (更多資訊...) )
- 移除現有屬性 (請參閱 (更多資訊...) )
指定新的建立屬性
以下內容說明如何新增建立屬性並從 Active Directory 對映至 Directory Server。(新增建立屬性並進行從 Directory Server 至 Windows 的對映的過程與新增建立屬性並進行從 Windows 到 Directory Server 的過程類似。)
- 按一下「建立屬性對映與數值」對話方塊中的「開啟新檔」按鈕。
出現「定義建立屬性對映與數值」對話方塊 (圖 4-37)。
圖 4-37 定義建立屬性對映與數值
- 從 Active Directory 屬性下拉清單中選取屬性值。
圖 4-38 選取新的 Active Directory 屬性
如果屬性本身接受多個值,則 Identity Synchronization for Windows 能讓您以多個值初始化屬性。
例如,假設貴公司有三個傳真機號碼,那麼您可以指定 facsilimiletelephonenumber 屬性同時用於 Sun Java System Directory Server 與 Active Directory,然後指定這三個號碼。
您必須知道哪些屬性接受多個值。若試著將多個值加入不接受多個值的屬性,則當程式嘗試建立物件時,會在執行階段發生錯誤。
- 在「新值」欄位中輸入值並按一下「新增」。
本程式會將該屬性值加入清單窗格中。視您的需要重複此步驟多次來新增多個屬性值。
圖 4-39 為建立屬性指定多個值
- 若要將屬性對映至 Directory Server,請從「Directory Server 屬性」下拉清單中選取屬性名稱。
圖 4-40 對映 Directory Server 屬性
- 完成後按一下「確定」。
根據範例,完成的建立屬性與對映表大致如下圖所示:
圖 4-41 完成的建立屬性與對映表
- 若要指定其他屬性,請重複上述步驟。
編輯現有屬性
若要編輯任何建立屬性對映或數值,
- 選取「物件建立」標籤,然後按一下所選建立選項下方之「建立屬性」按鈕。
- 出現「建立對映與數值」對話方塊後,從表中選取屬性並按一下「編輯」按鈕。
出現「定義建立對映與數值」對話方塊。
- 利用下拉功能表變更 Directory Server 與 Active Directory (或 Windows NT) 之間的現有對映。
例如,假設有一個 Sun Java System Directory Server 的 homephone 屬性對映至 Active Directory 的 othertelephone 屬性。您可以透過 Active Directory 屬性下拉清單,將對映變更為 homephone。
- 您也可以新增或移除屬性值:
- 完成後按一下「確定」以套用變更,並關閉「定義建立對映與數值」對話方塊。
- 再按一次「確定」,關閉「建立對映與屬性」對話方塊。
移除屬性
若要移除建立屬性對映或數值:
指定物件修改項目的傳遞方向
利用「屬性修改」標籤 (圖 4-42) 可控制對使用者屬性及密碼所做的修改在 Sun 與 Windows 系統間傳播 (傳遞) 的方向。
圖 4-42 屬性修改標籤
您可使用此標籤來配置下列各項:
指定方向
選取以下一個按鈕,控制如何在 Directory Server 和 Windows 系統之間傳遞在各自環境中所做的變更。
配置與同步化物件的啟動及停止作用
如果您啟用「將物件啟動/停止作用與 Active Directory 同步化」方塊 (請參閱圖 4-43),則可同步化 Directory Server 與 Active Directory 目錄來源之間的物件的啟動和停止作用 (稱為 Active Directory 上的啟用和停用)。
圖 4-43 同步化物件的啟動與停止作用
若要同步化物件的啟動/停止作用:
- 啟用「同步化 Directory Server 與 Active Directory 之間的物件停止作用」方塊。
- 啟用下列一個按鈕,指定 Identity Synchronization for Windows 如何偵測和同步化物件的啟動和停止作用:
- 與 Directory Server 工具互通 (請參閱 (更多資訊...) )
- 直接修改 Directory Server 的 nsAcountlock 屬性 (請參閱 (更多資訊...) )
- 使用 Directory Server 的自訂方式 (請參閱 (更多資訊...) )
與 Directory Server 工具互通
如果您使用 Directory Server 主控台或指令行工具來啟動/停止作用物件,則請選取此選項。
- 若要啟動物件,Identity Synchronization for Windows 將移除 nsroledn 屬性的 cn=nsmanageddisabledrole,<database suffix> 值。
- 若要停止作用物件,Identity Synchronization for Windows 會將 cn=nsmanageddisabledrole,<database suffix> 值加入 nsroledn 屬性。
表格 4-1 說明了當您啟用「與 Directory Server 工具互通」選項時,Identity Synchronization for Windows 如何偵測和同步化物件的啟動/停止作用:
直接修改 Directory Server 的 NsAccountLock 屬性
當 Directory Server 啟動與停止作用均依照 Directory Server 的操作屬性 nsAccountLock 時,請使用此方式。此屬性按如下所述控制物件狀態:
表格 4-2 說明了當您啟用「直接修改 Directory Server 的 nsAccountLock 屬性」選項時,Identity Synchronization for Windows 如何偵測以及同步化物件的啟動/停止作用:
使用 Directory Server 的自訂方式
當 Directory Server 的啟動和停止作用是由外部應用程式 (如 Sun Java System Access Manager (先前稱為 Sun JES Identity Server)) 所專門控制時,請使用此方法。
配置 Directory Server 的自訂方式時,必須指定
若要配置自訂的啟動和停止作用方式,請按一下「配置」按鈕,畫面接下來將顯示「配置 Directory Server 的自訂方式」對話方塊 (請參閱圖 4-44)。
圖 4-44 配置自訂的啟動及停止作用方式
此對話方塊包含下列功能:
- 數值與狀態表:使用此表可指定何時要啟動或停止作用與所選屬性相關的數值。
- 「狀態」欄:使用此欄可指定「數值」項目 (在同一列中) 是否對應於啟動或停止作用的物件。
- 「新增」按鈕:按一下此按鈕可在「數值」欄中新增項目。
- 「移除」按鈕:在「數值」欄中選取一個項目,然後按一下此按鈕可將該項目移除。
- 「啟動的值」與「非作用中的值」下拉清單:使用這兩個清單可指定 Identity Synchronization for Windows 用來設定物件狀態的數值。
使用下列程序可配置 Identity Synchronization for Windows,使其偵測以及同步化 Directory Server 與 Active Directory 之間的物件狀態:
例如,如果您使用的是 Access Manager:
根據此範例,表格 4-4 說明了 Identity Synchronization for Windows 如何在您啟用「使用 Directory Server 的自訂方式」選項時偵測和同步化啟動/停止作用 (使用 inetuserstatus 範例)。
當您在「數值」與「狀態」表格中填入項目時,Identity Synchronization for Windows 會按照如下所示自動填充「啟動的值」與「非作用中的值」下拉清單:
從「啟動的值」和/或「非作用中的值」下拉清單中選取一個值,指定在從 Active Directory 進行同步化時,Identity Synchronization for Windows 如何啟動和/或停止作用物件。
- 「啟動的值」:控制物件的使用中狀態。
- 「非作用中的值」:控制物件的使用中狀態。
- 非作用中或刪除:Identity Synchronization for Windows 會將 Directory Server 中物件的狀態設為「非作用中」。
- <無>:非有效設定。您必須選取一個值。
圖 4-46 說明了完整的「配置 Directory Server 的自訂方式」對話方塊。
圖 4-46 範例:完整的對話方塊
指定刪除項目的傳遞方向
利用「物件刪除」標籤來指定已刪除的使用者項目於 Directory Server 與 Active Directory 系統間的傳遞方向
建立同步化使用者清單同步化使用者清單 (SUL) 用於指定兩個目錄來源中所要同步化的使用者。SUL 中的每個項目均要通過連接器,並依據您對該 SUL 配置的限制對它們進行評估。
每個 SUL 均包含兩個元素,一個用來識別要同步化的 Directory Server 使用者,一個用來識別要同步化的 Windows 使用者。
附註
若要將 Directory Server 的使用者與多個 Active Directory 網域同步,您必須針對各 Active Directory 網域逐一定義 SUL。
有關定義與配置 SUL 的詳細資訊 (包括定義的元件、定義多個 SUL 的方法、對多個 SUL 的處理過程以及配置多重 Windows 網域支援的方法),請參閱附錄 D,「定義和配置同步化使用者清單」。
兩種 SUL 元素均包含三項定義,用以識別要同步化的使用者:
若要識別及連結伺服器間的使用者類型:
- 在導覽樹中選取「同步化使用者清單」節點,然後按一下「新同步化使用者清單」按鈕。
圖 4-48 建立新的同步化使用者清單
出現「定義同步化使用者清單」精靈,如下所示:
圖 4-49 指定 SUL 名稱
您的第一份「同步化使用者清單」的程式預設值為 SUL1。
- 如果您接受預設名稱,請按一下「下一步」。
- 若要使用其他名稱,請在「名稱」欄位中鍵入要使用的名稱,再按一下「下一步」。
出現「Windows 條件」畫面,如圖 4-50所示。
圖 4-50 指定 Windows 條件
- 從下拉清單中選取 Windows 目錄來源。
- 使用者設定網域 用來設定要同步化的所有使用者。請按照下列任一方法,輸入「使用者設定網域」的「基本 DN」:
- 您可以輸入平等指數、存在指數或子字串篩選器,以指定此基本 DN 中要同步化的使用者。例如,假設您將同一個基本 DN 用於多個同步化使用者清單,即可利用篩選加以區別。
平等篩選器語法類似於 LDAP 查詢語法,但平等子字串只允許 *、&、|、=、! 字元。例如,您可以使用下列篩選器,將管理員從 SUL 中排除:
(!(cn=Administrator))
程式會自動在「建立表示式」欄位填入值。
附註
建立表示式用於定義新項目從 Active Directory 傳播至 Directory Server 時,所使用的父項 DN 及命名屬性。
除非您配置讓使用者屬性建立從 Active Directory 傳遞至 Directory Server,否則建立表示式不適用於 Sun 目錄 (請參閱指定物件建立的傳遞方向)。
- 如果建立表示式遺失或者您想要變更現有項目,可以對所有 Windows Active Directory 同步化使用者清單輸入建立表示式,例如:
cn=%cn%,cl=users,dc=example,dc=com
如要變更建立表示式,必須選取要同步化的屬性。必要時,回到「物件建立」標籤,使用「建立屬性」按鈕新增及對映該屬性。
- 按一下「下一步」指定 Sun Java System Directory Server 條件。
圖 4-52 指定 Directory Server 條件
- 完成後按一下「完成」。
- 此程式可將新的 SUL 節點新增到導覽樹中,「配置」標籤也會顯示出「同步化使用者清單」畫面。
圖 4-53 同步化清單畫面
- 如遇同一使用者符合多個清單的情形,請按一下「解決網域重疊」按鈕來定義同步化使用者清單的喜好設定。(有關詳細資訊,請參閱認識同步化使用者清單定義。)
- 建立一個同步化使用者清單,其中包含網路中除了 Directory Server 以外的所有目錄來源。
儲存配置若要透過任何主控台畫面儲存您目前的配置:
- 按一下「儲存」,儲存截至目前為止的設定。
- 當程式在評估您的配置設定時,會顯示「配置有效狀態」視窗。
圖 4-54 配置有效狀態視窗
儲存配置可能需花數分鐘,因為程式會將資訊重寫至配置目錄並通知系統管理員。
系統管理員 (或核心元件) 負責將您的配置設定分送給需要這些資訊的元件。
- 如果您的配置有效,請按一下「繼續」儲存配置。
此時會顯示「連接器安裝說明」對話方塊 (類似於圖 4-55 中的清單),提供有關安裝 Identity Synchronization for Windows 連接器與子元件方法的說明。
該清單現在已更新為針對您的部署所自訂的「待辦事項」清單。(截至目前為止,這些步驟是通用的。) 請注意,您也可以從 Identity Synchronization for Windows 主控台的「狀態」標籤上存取及更新「待辦事項」清單。
圖 4-55 安裝連接器之說明
- 詳閱其中的訊息後,按一下「確定」。
完成初步的核心配置後,即可開始安裝 Identity Synchronization for Windows 連接器及子元件。請接著看第 5 章,「安裝連接器與 Directory Server 外掛程式」之說明。