第 6 章現有使用者同步化

第 6 章
現有使用者同步化

Identity Synchronization for Windows 指令行公用程式提供了 idsync resync 子指令來驅動現有使用者的部署。這個指令可使用管理員指定的配對規則來連結現有的項目、將遠端目錄的內容填入空目錄中，或批量同步化兩個現有使用者個體群之間的屬性值 (包含密碼)。

本章說明如何使用 idsync resync 子指令來連結並同步化現有的使用者，以執行新的 Identity Synchronization for Windows 安裝作業。此外，本章也提供了啟動和停止同步化及服務的說明。內容歸納如下：

使用 idsync resync

檢查中央日誌中的結果

啟動與停止同步化

啟動與停止服務



附註	在嘗試連結並同步化現有使用者前，請務必先安裝核心元件及連接器。有關 idsync resync 子指令的詳細資訊，請參閱附錄 A，「使用 Identity Synchronization for Windows 指令行公用程式」。

表格 6-1 依據現有使用者個體群歸納出要執行的安裝後步驟：

表格 6-1 基於現有使用者個體群的安裝後步驟
使用者所屬系統		安裝後步驟
Windows	Directory Server	同步化現有使用者	不同步化現有使用者
否	否	無	無
否	是	執行 idsync resync -o Sun -c，在 Windows 中建立現有的 Directory Server 使用者。	無
是	否	執行 idsync resync -c，在 Directory Server 中建立現有的 Windows 使用者。	執行 idsync resync -u 以填入連接器所獲的使用者項目之本機快取。
是	是	使用以下一種方法：執行 idsync resync -f <filename> 來連結並同步化 Active Directory 與 Directory Server 中的使用者。執行 idsync resync -f <filename> -k，僅連結使用者。執行 idsync resync -f <filename> -k 僅連結使用者，然後再執行 idsync resync -o Sun 以同步化 Directory Server 中的現有使用者。	執行 idsync resync -u 以填入連接器所獲的使用者項目之本機快取。

使用 idsync resync

本節說明連結及同步化程序，描述了使用 idsync resync 子指令的適當語法，並且解釋了如何驗證程序是否順利完成。內容歸納如下：

重新同步化使用者



附註	開始進行部署的同步化之前，請確定伺服器間所有的現有使用者均已同步化。

您可以使用 idsync resync 指令來連結現有的項目、建立使用者，以及同步化兩個目錄來源中的使用者屬性。特別是您能使用 idsync resync 指令來

將現有 Active Directory 或 Windows NT SAM 網域使用者填入空 Directory Server

連結所有使用者，然後同步化兩個現有目錄來源中的所有使用者項目屬性值 (密碼除外)



附註	如果有存在於 Directory Server 和 Windows 中的使用者，您必須執行 idsync resync -f <filename> 指令來連結和同步化這些使用者。如果不希望讓現有使用者與 Directory Server 同步化，請在執行 idsync resync 時加上 -u 引數，如此便只會更新物件快取，不會將 Windows 的項目同步化到 Directory Server。如有現有的 Windows 使用者但未執行 idsync resync，則是否會傳播對這些使用者所做的變更將視傳遞方向設定而定，甚至有可能在 Directory Server 中自動建立這些使用者。您必須再次執行 idsync resync，即使您已執行了該指令。

當兩個目錄來源變成不同步時，請同步化使用者項目

「填寫」Active Directory 與 Windows NT SAM 連接器物件快取資料庫，該資料庫可維護 Active Directory 或 Windows NT SAM 使用者項目的陰影副本。

您無法使用 idsync resync 指令來同步化密碼 (但可使 Directory Server 密碼失效，以強制在 Active Directory 環境中進行隨需密碼同步化)。

連結使用者

在將使用者填入 Active Directory 和 Directory Server 並安裝 Active Directory 和 Directory Server 連接器之後 (開始同步化之前)，您必須使用 idsync resync 指令來確保兩個目錄來源中的全部現有使用者均已連結。

什麼是連結？Identity Synchronization for Windows 藉由儲存下列不會改變的唯一識別碼，使 Directory Server 與 Windows 中的相同使用者相互關聯：

每個 Directory Server 使用者項目的 dspswuserlink 屬性

每個 Active Directory 使用者的 objectguid 屬性

每位 Windows NT SAM 使用者的網域名稱及 RID 組合

儲存此不變的識別碼可使 Identity Synchronization for Windows 同步化其他重要的識別碼，如 uid 和 cn。執行下列動作時，會填入 dspswuserlink 屬性：

Identity Synchronization for Windows 在 Directory Server 中建立新使用者 (從 Windows 同步化新使用者之後或透過執行idsync resync -c)

Identity Synchronization for Windows 在 Windows 上建立新使用者(從 Directory Server 同步化新使用者之後或透過執行idsync resync -c -o Sun)

您可以依照本章的說明，執行 idsync resync -c -f 來連結 Directory Server 及 Windows 中已存在的項目。

若要連結現有的使用者，您必須提供用於比對兩個目錄之間的使用者的規則。例如，若要連結兩個目錄中的某一使用者項目，兩個目錄項目中的姓氏與名字必須相符。

連結使用者項目及解決資料衝突不僅是一項技術，更是一門藝術。idsync resync 子指令在連結相對目錄來源中的兩個使用者時可能失敗的原因有許多項，並且主要是由連結目錄中資料的一致性決定。

使用 idsync resync 的一種策略便是使用 -n 引數，這樣可在「安全模式」下執行作業，因此您就能在不進行實際變更的情況下預覽作業的結果。在安全模式下執行可使您逐步修正連結條件，直到您找到一組理想的使用者符合條件為止。

不過，您應該注意到，需要在連結準確性與連結範圍之間取得平衡。

例如，假設兩個目錄來源中包含一個雇員 ID 或社保卡號，您可能要從僅包括此號碼的連結條件著手。或許您會覺得還應該將姓氏屬性納入條件中，以提高連結準確性。不過，您可能會遺失連結，因為本應只有 ID 符合的那些項目由於資料中姓氏值的不一致而未實現配對。此時您必須執行資料清除程序來清除無法連結的項目。

idsync resync 引數

idsync resync 指令接受以下引數：

表格 6-2 idsync resync 用法
引數	涵義
-f <filename>	使用 Identity Synchronization for Windows 提供的其中一個指定 XML 配置檔案，在未連結的使用者項目之間建立連結(請參閱附錄 B，「LinkUsers XML 文件範例」)
-k	僅在未連結的使用者之間建立連結 (不建立使用者或修改現有的使用者)。您必須將此引數與 -f 引數搭配使用。
-a <ldap-filter>	指定 LDAP 篩選器來限制要同步化的項目篩選器將套用到重新同步化作業的來源。例如，如果您指定 idsync resync -o Sun -a “usid=*”，則具有 uid 屬性的所有 Directory Server 使用者都將同步化到 Active Directory。
-l <sul-to-sync>	指定要重新同步化的個別「同步化使用者清單 (SUL)」附註：您可以指定多個 SUL ID 來重新同步化多個 SUL，或是如果您沒有指定任何 SUL ID，程式將重新同步化您全部的 SUL。
-o (Sun \| Windows)	指定重新同步化作業的來源 Sun：將 Windows 項目的屬性值設定為 Sun Java System Directory Server 目錄來源項目中的對應屬性值。 Windows：將 Sun Java System Directory Server 項目的屬性值設定為 Windows 目錄來源項目中的對應屬性值。 (預設為 Windows。)
-c	如果在目標位置找不到對應的使用者，則自動建立一個使用者項目為在 Active Directory 或 Windows NT 中建立的使用者隨機產生一個加密的安全密碼為在 Directory Server 中建立的使用者自動建立一個特殊的密碼值 ((PSWSYNC)INVALID PASSWORD) (除非指定 -i 選項) 附註：Identity Synchronization for Windows 將嘗試建立使用者，即使您尚未在該方向配置建立項目。例如，如果您尚未配置 Identity Synchronization for Windows，以便從 Windows 同步化到 Sun (反之亦然)，但卻指定 -c 引數，Identity Synchronization for Windows 就會嘗試建立未找到的使用者。
-i (ALL_USERS \| NEW_USERS \| NEW_LINKED_USERS)	重設在 Sun 目錄來源中同步化的使用者項目的密碼，當下一次需要使用者密碼時，在目前的網域內強制對這些使用者進行密碼同步化。 ALL_USERS：對所有同步化的使用者強制進行隨需密碼同步化 NEW_USERS：僅對新建的使用者強制進行隨需密碼同步化 NEW_LINKED_USERS：對所有新建或連結的使用者強制進行隨需密碼同步化有關這些選項對密碼驗證所造成的影響的相關資訊，請參閱表格 6-3。
-u	更新物件快取。此引數僅更新 Windows 目錄來源的使用者項目之本機快取，防止在 Directory Server 中建立已存在的 Windows 使用者。如果使用此引數，Windows 使用者項目便不會與 Directory Server 使用者項目實現同步。此引數只有在 resync 來源為 Windows 時有效。
-x	刪除不符合來源項目的所有目標使用者項目。
-n	在安全模式下執行，如此您可在不進行實際變更的情況下預覽作業結果。

表格 6-3 idsync resync 是否會使得 Directory Server 上的使用者密碼失效？
	使用者在連結的 Active Directory 及 Directory Server 上有一個項目。	使用者在未連結的 Active Directory 及 Directory Server 上有一個項目。	使用者在 Active Directory 上有一個項目，但在 Directory Server 上沒有項目。
-i ALL_USERS	是	是	是
-i NEW_LINKED_USERS	否	是	是
-i NEW_USERS	否	否	是
無 -i 值	否	否	否

表格 6-4 提供了範例來說明組合不同引數的執行結果 (h、-p、-D、-w、- 和 -s 引數為預設值，並且為了方便說明，在此將其省略)。

表格 6-4 idsync resync 用法範例
引數	結果
idsync resync	顯示 resync 用法說明。
idsync resync -i ALL_USERS	使所有使用者密碼失效，強制進行隨需密碼同步化 (僅適用於 Active Directory 環境)。在混合環境 (具有 Active Directory 和 NT 網域) 中，必須明確列出 Active Directory SUL。
idsync resync -c -i NEW_USERS	建立未在 Directory Server 中找到的使用者，並使其密碼無效以強制執行隨需密碼同步化。使用此指令可將現有的 Windows 使用者填入空的 Directory Server 實例。
idsync resync -c -l SUL_sales -l SUL_finance	僅針對 SUL_sales 和 SUL_finance SUL 在 Directory Server 中建立全部現有的 Active Directory 使用者 (但不強制進行隨需密碼同步化)。
idsync resync -n	在安全模式下執行，如此您可在不進行任何實際變更的情況下預覽 resync 作業的結果。
idsync resync -o Sun -a "(sn=Smith)"	同步化 Windows 中所有姓氏為 (sn) Smith 的 Directory Server 使用者。
idsync resync -u	僅更新 Windows 連接器的物件快取，以避免在 Directory Server 中建立現有使用者。實際上未同步化任何使用者。
idsync resync -f link.cfg -k -i NEW_LINKED_USERS	根據 link.cfg 檔案中所指定的連結條件來連結尚未連結的使用者。Identity Synchronization for Windows 不會建立或修改使用者，但是新連結使用者的 Directory Server 密碼會被設為 Active Directory 使用者的密碼。



注意	當使用 idsync resync 連結使用者時，請注意您應該在作業中使用索引化屬性。未索引化的屬性可能會影響效能。假如 UserMatchingCriteria 組內具有多個屬性，且其中至少一項已經過索引化，則可能會有較佳的效能。然而，若是 UserMatchingCriteria 中的屬性均未經過索引化，則對於處理大型目錄，效能恐怕難令人接受。

檢查中央日誌中的結果

所有 idsync resync 作業的結果均會在名為 resync.log 的特定中央日誌中報告。此日誌會列出所有正確連結及同步化的使用者、連結失敗者，以及先前連結的使用者。



附註	某些現存的特殊 Active Directory 使用者 (如 Administrator 和 Guest) 在此日誌中可能出現失敗的結果。

啟動與停止同步化

啟動與停止同步化不會啟動或停止個別的 java 程序、常駐程式或服務。一旦開始同步化，停止同步化就只會暫停作業。當您重新啟動同步化時，程式會從它停止的位置繼續進行同步化，且不會遺失任何變更。

若要啟動或停止同步化：

在「Sun Java System 伺服器主控台」瀏覽窗格中，選取 Identity Synchronization for Windows 實例。

出現 Identity Synchronization for Windows 窗格時，按一下右上角的「開啟」按鈕。

出現提示時，請輸入配置密碼。

選取「工作」標籤 (圖 6-1)：

圖 6-1 啟動與停止同步化
啟動或停止同步化服務。

若要啟動同步化，請按一下「啟動同步化」。

若要停止同步化，請按一下「停止同步化」。



附註	您也可使用 idsync startsync 及 idsync stopsync 指令行公用程式來啟動和停止同步化。有關詳細說明，請參閱使用 startsync 及使用 stopsync。

啟動與停止服務

Identity Synchronization for Windows 和 Message Queue 以常駐程式的形式安裝在 Solaris 中，以服務的形式安裝在 Windows 中。這些程序會在系統啟動時自動啟動，但您也可以手動的方式啟動和停止它們，如下所示：

Solaris 系統：在指令行中，

輸入 /etc/init.d/isw start 以啟動所有 Identity Synchronization for Windows 程序。

輸入 /etc/init.d/isw stop 以停止所有 Identity Synchronization for Windows 程序。

輸入 /etc/init.d/imq start 以啟動 Message Queue 代理程式。

輸入 /etc/init.d/imq stop 以停止 Message Queue 代理程式。

Windows 系統：

從 Windows「開始」功能表中：

選取「開始」>「設定」>「控制台」>「系統管理服務」。

出現「系統管理服務」對話方塊時，按兩下「服務」圖示來開啟「服務」對話方塊。

選取 Identity Synchronization for Windows，然後從功能表列中選取
「動作」>「啟動」(或「停止」)。對 iMQ Broker 重複此步驟。

在指令行中，輸入 net 指令來控制服務。



附註	停止 Identity Synchronization for Windows 常駐程式/服務後並在重新啟動它之前，暫停 30 秒。連接器需要花費數秒時間才能完全關閉它們。

上一頁目錄索引下一頁
Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南