|
| |
| Sun Java System Identity Synchronization for Windows 1 2004Q3 安裝與配置指南 | |
詞彙
以下專有名詞用於 Identity Synchronization for Windows 產品和此文件集中。CA 請參閱憑證授權單位。
CLI 請參閱指令行介面。
DIT 請參閱目錄資訊樹。
DM 請參閱目錄管理員。
DNS 網域名稱系統。網路中的電腦用來將標準 IP 位址 (例如 198.93.93.10) 與主機名稱 (例如 www.example.com) 關聯的系統。電腦通常從 DNS 伺服器取得主機名稱的 IP 位址,或在其系統上維護的表格中查詢此地址。
FSMO 角色 彈性的單一主伺服器操作角色。Active Directory 用於防止多主伺服器部署中發生更新衝突的機制。即使部署作業為多主伺服器,部分物件仍會在單一主伺服器模式下更新,這與 Windows NT 網域中傳統的「主要網域控制器 (PDC)」概念很相似。Active Directory 部署中有五個 FSMO 角色,但只有 PDC 模擬器角色會影響 Identity Synchronization for Windows。由於密碼更新立即會隨 PDC 模擬器角色只被複製到 Active Directory 網域控制,所以 Identity Synchronization for Windows 使用此網域控制器進行同步化。否則,與 Sun Java System Directory Server 的同步化可能會延遲幾分鐘。
Identity Synchronization for Windows主控台 用於配置和監視 Identity Synchronization for Windows 的圖形化使用者介面。
IP 位址 網際網路通訊協定位址。一組由小數點分隔的數字,指定電腦在網際網路上的實際位置 (例如,192.168.2.1)。
Java 訊息服務 訊息傳送標準 API,可讓基於 Java 2 Platform Enterprise Edition (J2EE) 的應用程式元件建立、傳送、接收及讀取訊息。它允許進行鬆散結合、可靠及非同步的分散式通訊。
JMS 請參閱 Java 訊息服務。
LDAP 輕量級目錄存取協定。專用於在 TCP/IP 和多重平台間執行的目錄服務協定。Identity Synchronization for Windows 使用 LDAP 與 Active Directory 網域控制器和 Sun Java System Directory Server 進行通訊。
LDAP URL 提供使用 DNS 尋找目錄伺服器然後經由 LDAP 完成查詢的方法。LDAP URL 範例為 ldap://ldap.example.com
LDAP 用戶端 用於請求和檢視來自 LDAP Directory Server 的 LDAP 項目的軟體。在連線到 LDAP 伺服器時,Identity Synchronization for Windows 連接器將作為 LDAP 用戶端。
Message Queue 請參閱 Sun Java System Message Queue。
MMR 請參閱多主伺服器複製。
MQ 請參閱 Sun Java System Message Queue。
retro changelog 一個 Directory Server 資料庫 (cn=changelog),儲存對 Directory Server 所做所有變更的記錄。Identity Synchronization for Windows 使用 retro changelog 來偵測對 Directory Server 所做的變更。在 MMR 環境中,必須啟用喜好的 Directory Server 上的 retro changelog。
SSL 安全資料傳輸層。用於在雙方 (用戶端與伺服器) 之間建立安全連線的一個軟體資料庫。用於實現 HTTPS (HTTP 的安全版本) 及 LDAPS (LFAP 的安全版本)。
SUL 請參閱同步化使用者清單。
Sun Java System Message Queue 實現「Java 訊息服務 (JMS)」開放標準的企業訊息傳送系統。Message Queue 的基礎結構包含發佈方與訂閱方,它們藉由共同服務來交換訊息。Sun Java System Message Queue 由專用的訊息代理程式進行管理,它負責控制 Message Queue 的存取、維護使用中的出版社和訂閱者的相關資訊,並確保傳遞這些資訊。Identity Synchronization for Windows 使用 Message Queue 來安全地同步化使用者變更事件、發布配置資訊,以及監視遠端元件的狀況。
Sun Java System Message Queue 代理程式 一台獨立式 Java 伺服器,可使用戶端存取 Sun Java System Message Queue。在 Solaris 系統中,透過 /etc/init.d/imq daemon 程序檔控制代理程式;而在 Windows 系統中,則是透過「iMQ 代理程式」服務控制。Identity Synchronization for Windows 在安裝核心元件過程中配置並啟動代理程式。
URL 單一資源定址器。伺服器和用戶端用於請求文件的定址系統。通常稱為位置。URL 的格式為 [protocol]://[machine:port]/[document]。只有在選定的伺服器上才需要通訊埠號,此號碼通常由伺服器分配,如此使用者就不必將其置於 URL 中。
子元件 與連接器分開執行的輕量級程序或程式庫。子元件在連接器所管理的目錄來源附近執行,並會啟用連接器中無法在遠端電腦或獨立程序中實現的功能。子元件可透過自訂的加密通道與連接器通訊,以接收配置資訊、報告變更事件並記錄到中央記錄程式。Identity Synchronization for Windows 包含三個子元件:Directory Server 外掛程式、Windows NT 密碼篩選器 DLL 及 Windows NT 變更偵測器。
中央記錄程式 一個管理所有中央日誌的核心元件,這些中央日誌是每個連接器的稽核和錯誤日誌的彙總。管理員可藉由監視這些日誌來監視整個 Identity Synchronization for Windows 的安裝狀況。您可直接檢視中央日誌,也可透過 Identity Synchronization for Windows 主控台檢視。在預設狀況下,中央日誌位於安裝有核心元件的電腦之 <install-root>/logs/central/ 子目錄下。
主物件類別 請參閱結構性物件類別。
主控台 用於配置和監視伺服器應用程式的圖形化使用者介面。Sun Java System Directory Server 與 Identity Synchronization for Windows 有獨立的主控台。
主機名稱 以 machine.domain.com 為形式的電腦名稱,會轉譯為一個 IP 位址。例如,www.example.com 是在網域 com 子網域 example 中的電腦 www。
代理 一個連接器元件,可與 Message Queue 互動,並轉譯其 Directory Server 名稱與 Windows 名稱之間的屬性。在日誌訊息中,經常將代理程式作為某個特定動作的參考。
代理程式 請參閱 Sun Java System Message Queue 代理程式。
外掛程式 一種附加程式,可將其載入並作為整體系統的一部分來使用。
例如,Identity Synchronization for Windows 使用 Directory Server 外掛程式來加強 Directory Server 連接器變更偵測功能,並為 Active Directory 和 Directory Server 之間的密碼同步化提供雙向支援。
用戶端 請參閱 LDAP 用戶端。
目錄來源 Sun Java System Directory Server、Windows Active Directory 網域或 Windows NT 網域。目錄來源包含要同步化的使用者。
目錄資訊樹 儲存在目錄中的資訊之邏輯表示,它鏡像了大多數檔案系統所使用的樹模型,其中樹目錄的根在階層頂部顯示。
目錄管理員 授權的目錄伺服器管理員,相較於 UNIX 中的超級使用者。Identity Synchronization for Windows 需要目錄管理員憑證才可以執行特定的配置作業,但連接器不需要目錄管理員憑證以進行同步化作業。
同步化主機 根據同步化使用者清單 (SUL) 中定義的規則儲存同步化資料的伺服器。
同步化使用者清單 在要同步化的 Sun 和 Windows 目錄中定義使用者。「同步化使用者清單」可根據 LDAP 基本 DN 或篩選器限制要同步化的使用者之範圍。
同步化的屬性 請參閱重要屬性。
地區設定 針對特定地區、文化和/或習慣的使用者,定義用來呈現這些使用者資料的比較順序、字元類型、貨幣格式、時間/日期格式。其中包括了有關如何解釋、儲存或比較指定語言的資料的資訊。地區設定也會指出應使用哪一代碼頁來表示指定語言。
多主伺服器複製 一個目錄伺服器複製模型,在此模型內,您可以在數個主伺服器複本中的任意一個上寫入及更新項目,而不必在執行寫入或更新之前與其他主伺服器複本進行通訊。在一台伺服器中所做的修改會自動複製到其他伺服器。您可在部署多個目錄伺服器主複本時安裝 Identity Synchronization for Windows。然而,當同步化對 Windows 的變更時,必須要有喜好的目錄伺服器;而當同步化來自 Windows 的變更時,必須要有喜好或輔助的目錄伺服器。
字元類型 將字母字元同數值 (或其他) 字元以及大寫到小寫字母的對應區別開來。
字尾 目錄樹頂部的項目名稱,資料儲存在其下方。在相同目錄內可以有多個字尾。每個資料庫只有一個字尾。
存取操作 一個連接器層,其透過協定 (如 LDAP) 直接與目錄來源通訊。Identity Synchronization for Windows 對 Directory Server、Active Directory 及 Windows NT 有不同的存取實施方式。在日誌訊息中,經常將存取操作作為某個特定動作的參考。
安全資料傳輸層 請參閱 SSL。
伺服器主控台 基於 Java 的應用程式可讓您從 GUI 執行 Directory Server 的管理員管理。
伺服器根 伺服器電腦上專門用於保留伺服器程式配置、維護以及資訊檔案的目錄。
系統管理員 獨立式 Java 程序,由安裝了核心元件的「監視程式」常駐程式/服務所啟動。系統管理員會將配置資訊發布到連接器和中央核心元件,監視系統的狀況並協調 idsync resync 作業。
命名上下文 (也稱為根字尾) 目錄資訊樹 (DIT) 的特定字尾,由其辨別名稱 (DN) 來識別,例如 dc=example,dc=com。在 Identity Synchronization for Windows 中,用於 Sun Java System Directory Server 的目錄來源由字尾所定義,該字尾中包含要同步化的資料。
拓樸 在實體伺服器之間分隔目錄樹以及這些伺服器彼此連結的方式。
服務 在 Windows 電腦上負責特定系統工作的後台程序。服務程序不需要人工操縱即可繼續運作。在 Windows 中,連接器、系統管理員和中央日誌程式作為由 Identity Synchronization for Windows 監視程式服務所啟動和監視的程序執行。
物件快取 Windows 連接器用於偵測對使用者項目所做變更的處於程序中的資料庫。物件快取可儲存每一個使用者項目的雜湊摘要,這可讓 Windows 連接器確定使用者項目中已發生變更的特定屬性。
物件類別 用於指定項目所描述的物件種類以及項目中所包含的有效和強制屬性集的一個範本。例如,Directory Server 可指定一個 inetorgperson 物件類別,它具有 cn 和 userpassword 等屬性。隨需密碼同步化:一種機制,藉由此機制使 Directory Server 中的使用者密碼無法被更新,直到使用者嘗試進行 Directory Server 身份驗證時為止。僅當提供的密碼符合 Active Directory 中儲存的密碼時,才會同步化使用者的密碼。這將簡化 Active Directory 環境中的密碼同步化。
建立屬性 只有在建立物件時才會同步化的屬性。當建立物件時會自動同步化所有重要屬性。對於在遠端目錄中可能沒有相應屬性值的建立屬性,您可以為其配置預設值。
指令行介面 程式及其使用者之間的一種通訊方式,僅依賴於文字式輸入和輸出。指令可藉助鍵盤或類似的裝置輸入,並由程式來解譯和執行。Identity Synchronization for Windows 指令行介面稱為 idsync,並且位於安裝了核心元件的 bin/ 目錄中。
重新同步化間隔 連接器檢查目錄來源變更的頻率。此定期檢查很有效,而且只需要讀取自上次檢查以來已變更的使用者項目。主控台以微秒為單位表示此值,並提供預設值 1000 (1 秒)。
核心元件 安裝的第一個 Identity Synchronization for Windows 元件。此核心元件包含在配置目錄、系統管理員、中央日誌程式、主控台及指令行介面中儲存的初始配置。
根 UNIX 機器上權限最大的使用者 (也稱為超級使用者)。超級使用者對電腦上的所有檔案都具有完全存取權限。在 Solaris 系統中,必須將 Identity Synchronization for Windows 安裝為根。
根字尾 一個或多個 LDAP 子字尾的父項。目錄樹可包含一個以上的根字尾。
配置目錄 Directory Server 的特殊安裝,此 Directory Server 用作配置和狀態資訊的儲存庫。Identity Synchronization for Windows 會將其所有配置儲存在安裝核心元件過程中所選擇的配置目錄實例內。
配置密碼 安裝核心元件的過程中所選擇的密碼,可保護配置目錄所儲存的所有敏感性 Identity Synchronization for Windows 資訊。使用安裝程式、主控台或指令行介面時必須提供配置密碼。
配置登錄 Identity Synchronization for Windows 用來代表配置目錄的另一個術語。
副檔名 位於句點或小數點 (.) 後的檔案名稱部分,通常用來定義檔案類型 (例如,.GIF 和 .HTML)。例如,在名為 index.html 的檔案中,副檔名為 html。
動作 單個同步化事件的封裝。Identity Synchronization for Windows 連接器使用動作來溝通使用者變更事件。每個動作都包含一個類型 (如 CREATE、MODIFY 或 DELETE) 及來自使用者項目的足夠屬性,以使目標連接器可同步化變更。所有動作皆以單元方式執行。
基本 DN 基本辨別名稱。對基本 DN、項目 DN 以及目錄樹中其下所有的項目執行一項搜尋作業。對於 Active Directory 和 Directory Server 而言,「同步化使用者清單」以特定的基本 DN 為基礎。系統將同步化此基本 DN 下的所有使用者,除非篩選器明確排除其下的使用者。
基本辨別名稱 請參閱基本 DN。
密碼檔案 UNIX 機器上的一種檔案,用於儲存 UNIX 使用者登入名稱、密碼和使用者 ID 號碼。因其所在的位置,也可稱為 /etc/passwd。
常駐程式 在 UNIX 機器上負責特定系統工作的後台程序。常駐程式處理程序不需要人工操縱即可繼續運作。連接器、系統管理員和中央日誌程式作為常駐程式程序執行,這些程序由 Identity Synchronization for Windows 監視程式啟動和監視。
控制器 可與代理程式和存取操作元件通訊的連接器元件。控制器可執行與金鑰同步化相關的工作,如確定使用者在「同步化使用者清單」中的成員資格、搜尋及連結對等使用者項目,以及透過比較現行的使用者項目與物件快取中所儲存的舊版本來偵測對使用者所做的變更。在日誌訊息中,經常將控制器作為某個特定動作的參考。
通用類別目錄 Windows 儲存庫,它會儲存 Active Directory 目錄拓樸及 Active Directory 目錄的綱目資訊。
連接器 管理 Identity Synchronization for Windows 與單一資料來源 (如 Directory Server、Active Directory 網域或 Windows NT 網域) 之間互動操作的一個 Java 程序。連接器負責偵測資料來源中的使用者變更,並透過 Message Queue 發佈這些變更到遠端連接器、訂閱使用者變更主題,以及將這些主題中的更新套用到資料來源。
連結 DN 執行作業時用於驗證 LDAP 目錄的辨別名稱 (例如 Active Directory 或 Directory Server)。
連結辨別名稱 請參閱連結 DN。
喜好的目錄伺服器 Identity Synchronization for Windows 用於偵測並套用對使用者項目所做變更的目錄伺服器主實例。當這台伺服器可用時,Identity Synchronization for Windows 不會與其他任何目錄伺服器主實例通訊。
結構性物件類別 項目的主要物件類別,用於定義 Identity Synchronization for Windows 所同步化的使用者項目中的有效和強制屬性集。例如,預設的 Active Directory 物件類別是 user;預設的 Directory Server 物件類別則是 inetorgperson。請參閱輔助物件類別。
超級使用者 請參閱根。
階層式複製 在階層式複製方案中,一台伺服器 (通常稱為集線器供應者) 要同時作為特定複本的用戶和供應者。這台伺服器持有一個唯讀複本並維護一個變更日誌。它從存有資料主要複本的供應者伺服器接收更新,並依次為用戶提供以上更新。
傳入 在連接器內,從目錄來源朝向 Message Queue 傳遞的動作方向。連接器所偵測的變更會傳入系統中。動作的相關日誌訊息通常會參照在連接器的傳入端所發生的事件。
傳出 在連接器內,從 Message Queue 朝向目錄來源傳遞的動作方向。由連接器所套用的變更會傳出到同步化的目錄來源中。動作的相關日誌訊息通常會參照在連接器的傳出端所發生的事件。
監視程式 獨立式 Java 程序,在安裝有核心元件或連接器的每台電腦上安裝。監視程式會啟動所有 Identity Synchronization for Windows Java 程序,包含系統管理員、中央日誌程式及連接器。這些元件中若有任何元件失敗,監視程式會重新啟動它們。在 Solaris 系統中,透過 /etc/init.d/isw 常駐程式程序檔來控制代理程式;而在 Windows 系統中,則是透過「Sun Java™ System Identity Synchronization for Windows」服務來控制。
網域 (1) (n.) 完全合格的網域名稱的最後部份,用於識別具有網域名稱的公司或組織 (例如,example.com、host.example.com)。
(2) (n.) 由單一電腦系統所控制的資源。網域控制器 Windows 伺服器,可儲存使用者帳號資訊、驗證使用者,以及對 Windows 網域強制執行安全性原則。Identity Synchronization for Windows 連接器可直接與網域控制器通訊,以偵測對使用者帳號的變更,並同步化 Directory Server 使用者項目中所做的變更。
輔助目錄伺服器 當喜好的目錄伺服器不可用時,可供 Identity Synchronization for Windows 使用的 MMR 環境中的目錄伺服器主實例。在無法使用喜好的目錄伺服器時,Identity Synchronization for Windows 可將 Active Directory 或 Windows NT 中所做的變更同步化到輔助目錄伺服器,但在喜好的目錄伺服器可用之前,將無法同步化在輔助伺服器或其他任何目錄伺服器主實例中所做的變更。
輔助物件類別 可擴大選定結構性類別的物件類別,它提供用於同步化的其他屬性。請參閱結構性物件類別。
輕量級目錄存取協定 請參閱 LDAP。
模式 描述可將何種類型資訊儲存為目錄中之項目的定義。當資訊不符合儲存在目錄中的模式時,嘗試存取目錄的用戶端可能無法顯示正確的結果。
模式檢查 確保在目錄中新增或修改的項目符合定義的模式。模式檢查在預設情況下為開啟,使用者在試圖儲存不符合模式的項目時將收到錯誤訊息。
確認 一則專用訊息,用來確認已接收到其他元件的訊息。Identity Synchronization for Windows 在連接器與 Message Queue 之間以及連接器元件 (代理程式、控制器與存取操作) 之間使用確認,以確保可靠地同步化所有變更。
稽核日誌 一個中央日誌檔案,其中包含針對於每日事件的項目,如正在同步化的使用者之密碼。管理員可使用 Identity Synchronization for Windows 主控台來控制此日誌中所顯示的項目數及詳細等級。
每個連接器都會產生一個關於該連接器所處理之使用者的稽核日誌,此外還有一個中央稽核日誌,包含了由部署作業中所有連接器所產生的稽核日誌的彙總。
憑證 將公開金鑰與網路身份相聯結的一個資料集合。利用此資訊可接收電子訊息,以檢驗訊息及訊息傳送者的驗證。當您配置 Identity Synchronization for Windows 連接器來使用 SSL 通訊時,必須先將憑證加入連接器的憑證資料庫,然後才可進行可靠的 SSL 通訊。另請參閱憑證授權單位。
憑證授權單位 銷售和發佈驗證憑證的公司或組織。您可以從信任的憑證授權單位 (也稱為 CA) 購買驗證憑證。您可使用根憑證授權單位的憑證來簽署其他憑證。配置 Identity Synchronization for Windows 連接器來使用 SSL 時,必須將相應根憑證授權單位的憑證加入連接器的憑證資料庫中。
憑證資料庫 憑證的安全儲存庫,包含三個檔案:cert8.db、key3.db 及 secmod.db。在 Identity Synchronization for Windows 中,每個連接器都有它自己的資料庫目錄 (例如,<install-root>/etc/CNN100)。另請參閱憑證。
檔案類型 指定檔案的格式。例如,圖形檔案通常儲存為 GIF 格式,而文字檔案通常儲存為 ASCII 文字格式。檔案類型通常由副檔名定義 (例如,.GIF 或 .HTML)。
屬性 包含某一項目的有關描述資訊。屬性具有標籤和值。每個屬性同樣還依照針對某一資訊類型 (可儲存為屬性值) 的標準語法。
權限 在存取控制的上下文中,權限規定是授予還是拒絕對目錄資訊的存取權,以及授予或拒絕的存取層級。
驗證 將用戶端使用者的身份提供給 Directory Server 的程序。使用者必須提供連結 DN 和相應密碼,以獲得目錄的存取權。根據目錄管理員給予使用者的權限,Directory Server 可允許該使用者執行功能或存取檔案和目錄。
驗證憑證 由協力廠商發佈的一個數位檔案,該檔案不可轉移或偽造。為了核對並驗證第三方,將驗證憑證由伺服器傳送到用戶端 (或由用戶端傳送到伺服器)。