test

Sun Identity Manager 8.1 业务管理员指南

在 Windows 上安装和配置 PasswordSync

本节包含有关安装和配置 PasswordSync 的信息和说明。

此信息分为以下几个部分:

Procedure安装 PasswordSync 配置应用程序

以下过程介绍了如何安装 PasswordSync 配置应用程序。

注 –

必须在与 Identity Manager 同步的域中的每个域控制器上安装 PasswordSync。

在继续操作之前,请确保卸载以前安装的任何版本的 PasswordSync。

  1. 从 Identity Manager 安装介质中,

    • 双击 pwsync\IdmPwSync_x86.msi(如果安装到 32 位版本的 Windows)。

    • 双击 pwsync\IdmPwSync_x64.msi(如果安装到 64 位版本的 Windows)。

    将打开安装向导,并且“欢迎”窗口显示以下导航按钮:

    • 取消。随时可以单击以退出向导,而不保存任何更改。

    • 上一步。单击以返回上一个对话框。

    • 下一步。单击以前进到下一个对话框。

  2. 阅读“欢迎”屏幕上提供的信息,然后单击“下一步”以显示“选择安装类型”窗口。

  3. 单击“典型”或“完全”安装完整的 PasswordSync 软件包,或者单击“自定义”控制安装哪些软件包组件。单击“下一步”继续。

  4. 在显示“准备安装”窗口时,单击“安装”以安装该产品。

  5. 将显示最终窗口。启用“启动配置应用程序”框,以便开始配置 Password Sync,然后单击“完成”以完成安装过程。

    第 11 章 中提供了有关配置 PasswordSync 的说明。

    注 –

    将显示一个对话框,提示必须重新启动系统才能使更改生效。在完成 PasswordSync 配置之前不需要重新启动系统,但在实现 PasswordSync 之前必须重新启动域控制器。

    在 Windows 上安装和配置 PasswordSync介绍了在每个域控制器上安装的文件。

    安装的组件  

    描述  

    %$INSTALL_DIR$%\configure.exe

    PasswordSync 配置程序 

    %$INSTALL_DIR$%\configure.exe.manifest

    用于配置程序的数据文件 

    %$INSTALL_DIR$%\passwordsyncmsgs.dll

    处理 PasswordSync 消息的 DLL 

    %SYSTEMROOT%\SYSTEM32\lhpwic.dll

    密码通知 DLL,该 DLL 实现 Windows PasswordChangeNotify() 功能。

Procedure配置 PasswordSync

如果从安装程序运行配置应用程序,则该应用程序会将配置屏幕显示为向导。完成向导后,以后每次运行 PasswordSync 配置应用程序时,都可以通过选择选项卡在屏幕间导航。

  1. 如果尚未运行 PasswordSync 配置应用程序,请启动该应用程序。

    默认情况下,此配置应用程序安装在 "Program Files" -> "Sun Identity Manager PasswordSync" -> "Configuration" 中。

    注 –

    如果不打算使用 JMS,请从命令行中启动该配置应用程序并确保包含 -direct 标志,如下所示:

    C:\InstallDir\Configure.exe -direct

    将显示 PasswordSync 配置向导对话框(请参见图 11–4)。

    图 11–4 PasswordSync 配置向导

    该图显示了 PasswordSync 配置向导

  2. 根据需要,编辑该对话框中的字段。

    这些字段包括:

    • 服务器必须用安装 Identity Manager 的全限定主机名或 IP 地址替换。

    • 协议指示是否与 Identity Manager 进行安全连接。

      PasswordSync 支持配置 HTTPS 连接的证书检查行为。在启用 HTTPS 时,将显示以下选项:

      • 允许使用撤销的证书。此设置映射到连接上的 securityIgnoreCertRevoke 注册表值。默认情况下,PasswordSync 不会忽略撤销问题,并将 securityIgnoreCertRevoke 注册表值设置为 0。

        如果希望 PasswordSync 忽略撤销的证书消息,请选中该框(或将 SECURITY_FLAG_IGNORE_REVOCATION 注册表值设置为 1)。

      • 允许使用无效的证书。此设置影响连接上的 SECURITY_FLAG_IGNORE_CERT_CN_INVALIDSECURITY_FLAG_IGNORE_CERT_DATE_INVALIDSECURITY_FLAG_IGNORE_UNKNOWN_CA 选项。默认情况下,PasswordSync 不允许使用无效的证书,并将这些注册表值设置为 0。

        如果选中该框或将 securityAllowInvalidCert 注册表值设置为 1,则允许 PasswordSync 使用未通过一些安全检查的证书。对于生产环境,不建议启用此选项。

        注 –

        不会为 HTTP 协议类型显示这些设置,这些设置也不会影响 HTTP 设置。

    • 端口指定服务器的可用端口。对于 HTTP,默认端口为 80。对于 HTTPS,默认端口为 443。

    • 路径指定应用服务器上的 Identity Manager 的路径。

    • URL 是通过将其他字段连接在一起生成的。不可在 URL 字段编辑该值。

    • 设置重新初始化时间间隔(秒)指定 PasswordSync dll 应从注册表中重新读取配置设置的频率。默认值为 2880 秒或 8 小时。

      注 –

      此 PasswordSync 配置向导以秒为单位显示该值,但注册表值实际是以毫秒存储的。

      在 PasswordSync dll 处于活动状态时,该 dll 将从注册表中读取配置设置。此时间间隔值存储在 reinitIntervalMilli 注册表值中。

      在更新这些设置时,无法同步密码,这可能会导致在处理密码更改时出现很短的延迟。通常,此延迟不到 1 秒。在更新完成后,PasswordSync 将直接处理在更新期间收到的任何密码更改。另外,PasswordSync 不会在进行密码同步时处理设置更新。将重新安排更新并在稍后执行。

  3. 单击“下一步”以显示“代理服务器配置”页(图 11–5),然后根据需要编辑这些字段。

    图 11–5 PasswordSync 向导“代理服务器”对话框

    该图显示了 PasswordSync 的“代理服务器”对话框

    这些字段包括:

    • 启用。选择是否需要使用代理服务器。

    • 服务器。您必须输入代理服务器的全限定主机名或 IP 地址。

    • 端口。指定服务器的可用端口号。(默认代理端口为 8080,默认 HTTPS 端口为 443。)

  4. 单击“下一步”。

    图 11–6 PasswordSync 向导“JMS 设置”对话框

    该图显示了 PasswordSync 的“JMS 设置”对话框

    在显示“JMS 设置”对话框(图 11–6)时,执行以下操作之一:

    • 根据需要,编辑以下字段:

      • 用户指定在队列中加入新消息的 JMS 用户名称。

      • 密码确认密码指定 JMS 用户的密码。

      • 连接工厂指定要使用的 JMS 连接工厂的名称。该工厂必须已存在于 JMS 系统中。

      • 大多数情况下,应将会话类型设置为 LOCAL,这表示将使用本地会话事务。系统收到每条消息后,将提交会话。其他可能的值包括 AUTOCLIENTDUPS_OK

      • 队列名称指定密码同步事件的目的地查找名称。

    • 如果不打算使用 JMS,并且使用 -direct 标志启动配置向导,请单击“下一步”以显示“用户”对话框。跳过此步骤并转到下一步(图 11–7)。

  5. 单击“下一步”以显示“JMS 属性”对话框(图 11–7)。

    图 11–7 PasswordSync 向导“JMS 属性”对话框

    该图显示了 PasswordSync 的“JMS 属性”对话框

    JMS 属性对话框允许您定义用于构建初始 JNDI 上下文的属性集。您必须定义以下名称/值对:

    • java.naming.provider.url - 指定运行 JNDI 服务的计算机的 URL。

    • java.naming.factory.initial - 指定 JNDI 服务提供者的初始上下文工厂的类名(包括包)。

      “名称”下拉菜单包含 java.naming 软件包中的类的列表。在类名称中选择一个类或类型,然后在“值”字段中输入其相应的值。

  6. 如果不打算使用 JMS,并且使用 -direct 标志启动配置向导,请配置“用户”选项卡。否则,跳过此步骤并转到下一步。

    要配置“用户”选项卡,请根据需要编辑这些字段。

    • 帐户 ID。指定将用于连接到 Identity Manager 的用户名。

    • 密码。指定将用于连接到 Identity Manager 的密码。

  7. 单击“下一步”以显示“电子邮件”对话框(图 11–8),并根据需要编辑这些字段。

    图 11–8 PasswordSync 向导“电子邮件”对话框

    该图显示了 PasswordSync 的“电子邮件”对话框

    要在用户的密码更改没有成功同步(由于通信错误或 Identity Manager 之外的其他错误)时发送电子邮件通知,请使用“电子邮件”对话框中的以下选项设置通知和配置电子邮件。

    • 启用电子邮件。选择此选项可以启用该功能。

    • 电子邮件最终用户。如果用户要接收通知,请选择此选项。否则,将仅通知管理员。

    • SMTP 服务器。输入发送故障通知时使用的 SMTP 服务器的全限定名称或 IP 地址。

    • 管理员电子邮件地址。输入要将通知发送到的电子邮件地址。

    • 发件人名称。输入发件人的“友好名称”。

    • 发件人地址。输入发件人的电子邮件地址。

    • 邮件主题。输入所有通知的主题行。

    • 邮件正文。输入通知的文本。

      邮件正文可能包含以下变量:

      • $(accountId) - 尝试更改密码的用户的帐户 ID。

      • $(sourceEndpoint) - 安装密码通知程序的域控制器的主机名,该主机名有助于找到出现故障的计算机。

      • $(errorMessage) - 用于描述所出现的错误的错误消息。

  8. 单击“跟踪”选项卡(图 11–9)。

    图 11–9 “跟踪”选项卡

    该图展示了 PasswordSync 的“跟踪”选项卡

    设置以下字段。

    • 跟踪级别

    • 最大文件大小 (MB)

    • 跟踪文件

  9. 单击“完成”保存更改。

    如果再次运行配置应用程序,将显示一组选项卡而不是向导。如果要将应用程序显示为向导,请从命令行中键入以下命令:


    C:\InstallDir\Configure.exe -wizard

    要测试 PasswordSync 配置,请参见测试配置

无提示安装 PasswordSync

可以将 PasswordSync 安装程序配置为无提示安装。要使用此功能,必须在安装 PasswordSync 时首先将配置参数记录到文件中。将来的安装将引用该文件并重新应用这些配置设置。

注 –

如果要使用无提示安装过程,则必须在将要使用该产品的每个服务器上安装完整产品。记录并重新应用配置设置取决于要在系统上安装的配置应用程序。

无提示安装过程利用一个名为 msiexec 的 Windows 实用程序,它将从命令行安装 .msi 文件。

在命令提示符下键入 msiexec /? 可查看该实用程序的用法信息。

Microsoft 网站上也提供了相关文档。例如,有关在 Windows Server 2003 上使用 msiexec 的文档,请参见 http://technet.microsoft.com/en-us/library/cc759262.aspx

Procedure捕获安装参数将其写入到配置文件中

可以按照以下说明使用安装向导安装 PasswordSync。该配置实用程序将捕获配置参数并将其写入到 XML 文件中。

开始之前

在安装之前,请删除旧版本的 PasswordSync。

  1. 转到包含 PasswordSync 安装 (.msi ) 文件的目录。

    有关信息,请参见安装 PasswordSync 配置应用程序

  2. 在命令提示符下键入以下命令。参数和值区分大小写。


    msiexec /i pwSyncInstallFile CONFIGARGS="-writexml fullPathToFile"

    其中:

    • pwSyncInstallFile 是 PasswordSync 安装文件(IdmPwSync_86.msiIdmPwSync_x64.msi)。

    • fullPathToFile 指定写入 XML 文件的位置。

    例如:


    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-writexml c:\tmp\myconfig.xml"

  3. 安装该产品。

Procedure无提示安装 PasswordSync

开始之前

  1. 将安装配置 XML 文件复制到安装程序可读取的位置。

  2. 在命令提示符下键入以下命令。参数和值区分大小写。


    msiexec /i pwSyncInstallFile ADDLOCAL="installFeature" CONFIGARGS="-readxml fullPathToFile"
 INSTALLDIR="installDir" /q

    其中:

    • pwSyncInstallFile 是 PasswordSync 安装文件(IdmPwSync_86.msiIdmPwSync_x64.msi)。

    • installFeature 指定要安装的 PasswordSync 功能。选择以下参数之一:

      • MainProgram - 仅安装拦截器 .dll 文件

      • Configuration - 仅安装配置应用程序

      • ALL - 安装完整产品

      如果未指定任何参数,则默认使用 MainProgram(如果提供了 /q 选项)。

    • fullPathToFile 指定配置 XML 文件的路径。

    • installDir 指定自定义安装目录的完整路径。可选。

    • /q 指定一个非 GUI 安装,将在完成后自动重新启动服务器。如果不包含该选项,将显示安装向导,但使用预定义设置运行配置。可选。

    示例:

    msiexec /i IdmPwSync_x86.msi CONFIGARGS="-readxml c:\tmp\myconfig.xml"
    msiexec /i IdmPwSync_x86.msi ADDLOCAL="MainProgram" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" /q
    msiexec /i IdmPwSync_x64.msi ADDLOCAL="Complete" 
CONFIGARGS="-readxml c:\tmp\myconfig.xml" 
INSTALLDIR="C:\Program Files\Sun Microsystems\MyCustomInstallDirectory" /q