Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 |
第 6 章
現有使用者同步化Identity Synchronization for Windows 指令行公用程式提供了 idsync resync 子指令來驅動現有使用者的部署。這個指令可使用管理員指定的配對規則來連結現有的項目、將遠端目錄的內容填入空目錄中,或批量同步化兩個現有使用者個體群之間的屬性值 (包含密碼)。
本章說明如何使用 idsync resync 子指令來連結並同步化現有的使用者,以執行新的 Identity Synchronization for Windows 安裝作業。此外,本章也提供了啟動和停止同步化及服務的說明。內容歸納如下:
附註
在嘗試連結並同步化現有使用者前,請務必先安裝核心元件及連接器。
有關 idsync resync 子指令的詳細資訊,請參閱附錄 A,「使用 Identity Synchronization for Windows 指令行公用程式」。
表格 6-1 依據現有使用者個體群歸納出要執行的安裝後步驟:
使用 idsync resync本節說明連結及同步化程序,描述了使用 idsync resync 子指令的適當語法,並且解釋了如何驗證程序是否順利完成。內容歸納如下:
重新同步化使用者
您可以使用 idsync resync 指令來連結現有的項目、建立使用者,以及同步化兩個目錄來源中的使用者屬性。特別是您能使用 idsync resync 指令來
- 將現有 Active Directory 或 Windows NT SAM 網域使用者填入空 Directory Server
- 連結所有使用者,然後同步化兩個現有目錄來源中的所有使用者項目屬性值 (密碼除外)
- 當兩個目錄來源變成不同步時,請同步化使用者項目
- 「填寫」Active Directory 與 Windows NT SAM 連接器物件快取資料庫,該資料庫可維護 Active Directory 或 Windows NT SAM 使用者項目的陰影副本。
您無法使用 idsync resync 指令來同步化密碼 (但可使 Directory Server 密碼失效,以強制在 Active Directory 環境中進行隨需密碼同步化)。
連結使用者
在將使用者填入 Active Directory 和 Directory Server 並安裝 Active Directory 和 Directory Server 連接器之後 (開始同步化之前),您必須使用 idsync resync 指令來確保兩個目錄來源中的全部現有使用者均已連結。
什麼是連結?Identity Synchronization for Windows 藉由儲存下列不會改變的唯一識別碼,使 Directory Server 與 Windows 中的相同使用者相互關聯:
儲存此不變的識別碼可使 Identity Synchronization for Windows 同步化其他重要的識別碼,如 uid 和 cn。執行下列動作時,會填入 dspswuserlink 屬性:
若要連結現有的使用者,您必須提供用於比對兩個目錄之間的使用者的規則。例如,若要連結兩個目錄中的某一使用者項目,兩個目錄項目中的姓氏與名字必須相符。
連結使用者項目及解決資料衝突不僅是一項技術,更是一門藝術。idsync resync 子指令在連結相對目錄來源中的兩個使用者時可能失敗的原因有許多項,並且主要是由連結目錄中資料的一致性決定。
使用 idsync resync 的一種策略便是使用 -n 引數,這樣可在「安全模式」下執行作業,因此您就能在不進行實際變更的情況下預覽作業的結果。在安全模式下執行可使您逐步修正連結條件,直到您找到一組理想的使用者符合條件為止。
不過,您應該注意到,需要在連結準確性與連結範圍之間取得平衡。
例如,假設兩個目錄來源中包含一個雇員 ID 或社保卡號,您可能要從僅包括此號碼的連結條件著手。或許您會覺得還應該將姓氏屬性納入條件中,以提高連結準確性。不過,您可能會遺失連結,因為本應只有 ID 符合的那些項目由於資料中姓氏值的不一致而未實現配對。此時您必須執行資料清除程序來清除無法連結的項目。
idsync resync 引數
idsync resync 指令接受以下引數:
表格 6-2 idsync resync 用法
引數
涵義
-f <filename>
使用 Identity Synchronization for Windows 提供的其中一個指定 XML 配置檔案,在未連結的使用者項目之間建立連結(請參閱附錄 B,「LinkUsers XML 文件範例」)
-k
僅在未連結的使用者之間建立連結 (不建立使用者或修改現有的使用者)。您必須將此引數與 -f 引數搭配使用。
-a <ldap-filter>
指定 LDAP 篩選器來限制要同步化的項目
篩選器將套用到重新同步化作業的來源。
例如,如果您指定 idsync resync -o Sun -a “usid=*”,則具有 uid 屬性的所有 Directory Server 使用者都將同步化到 Active Directory。-l <sul-to-sync>
指定要重新同步化的個別「同步化使用者清單 (SUL)」
附註:您可以指定多個 SUL ID 來重新同步化多個 SUL,或是如果您沒有指定任何 SUL ID,程式將重新同步化您全部的 SUL。
-o (Sun | Windows)
指定重新同步化作業的來源
(預設為 Windows。)
-c
如果在目標位置找不到對應的使用者,則自動建立一個使用者項目
附註:Identity Synchronization for Windows 將嘗試建立使用者,即使您尚未在該方向配置建立項目。例如,如果您尚未配置 Identity Synchronization for Windows,以便從 Windows 同步化到 Sun (反之亦然),但卻指定 -c 引數,Identity Synchronization for Windows 就會嘗試建立未找到的使用者。
-i (ALL_USERS | NEW_USERS | NEW_LINKED_USERS)
重設在 Sun 目錄來源中同步化的使用者項目的密碼,當下一次需要使用者密碼時,在目前的網域內強制對這些使用者進行密碼同步化。
有關這些選項對密碼驗證所造成的影響的相關資訊,請參閱表格 6-3。
-u
更新物件快取。
此引數僅更新 Windows 目錄來源的使用者項目之本機快取,防止在 Directory Server 中建立已存在的 Windows 使用者。如果使用此引數,Windows 使用者項目便不會與 Directory Server 使用者項目實現同步。此引數只有在 resync 來源為 Windows 時有效。
-x
刪除不符合來源項目的所有目標使用者項目。
-n
在安全模式下執行,如此您可在不進行實際變更的情況下預覽作業結果。
表格 6-4 提供了範例來說明組合不同引數的執行結果 (h、-p、-D、-w、- 和 -s 引數為預設值,並且為了方便說明,在此將其省略)。
注意
當使用 idsync resync 連結使用者時,請注意您應該在作業中使用索引化屬性。未索引化的屬性可能會影響效能。
假如 UserMatchingCriteria 組內具有多個屬性,且其中至少一項已經過索引化,則可能會有較佳的效能。然而,若是 UserMatchingCriteria 中的屬性均未經過索引化,則對於處理大型目錄,效能恐怕難令人接受。
檢查中央日誌中的結果所有 idsync resync 作業的結果均會在名為 resync.log 的特定中央日誌中報告。此日誌會列出所有正確連結及同步化的使用者、連結失敗者,以及先前連結的使用者。
啟動與停止同步化啟動與停止同步化不會啟動或停止個別的 java 程序、常駐程式或服務。一旦開始同步化,停止同步化就只會暫停作業。當您重新啟動同步化時,程式會從它停止的位置繼續進行同步化,且不會遺失任何變更。
若要啟動或停止同步化:
- 在「Sun Java System 伺服器主控台」瀏覽窗格中,選取 Identity Synchronization for Windows 實例。
- 出現 Identity Synchronization for Windows 窗格時,按一下右上角的「開啟」按鈕。
- 出現提示時,請輸入配置密碼。
- 選取「工作」標籤 (圖 6-1):
圖 6-1 啟動與停止同步化
- 若要啟動同步化,請按一下「啟動同步化」。
- 若要停止同步化,請按一下「停止同步化」。
附註
您也可使用 idsync startsync 及 idsync stopsync 指令行公用程式來啟動和停止同步化。有關詳細說明,請參閱使用 startsync 及使用 stopsync。
啟動與停止服務Identity Synchronization for Windows 和 Message Queue 以常駐程式的形式安裝在 Solaris 中,以服務的形式安裝在 Windows 中。這些程序會在系統啟動時自動啟動,但您也可以手動的方式啟動和停止它們,如下所示: