Einschränkungen in Identity Synchronisation für Windows (Sun Directory Server Enterprise Edition 7.0 Versionshinweise)

Sun Directory Server Enterprise Edition 7.0 Versionshinweise

Previous: Kapitel 5 Behobene Fehler und bekannte Probleme in Directory Proxy Server
Next: Ausführen einer Datenwiederherstellung, wenn das System oder eine Anwendung ausfällt

Einschränkungen in Identity Synchronisation für Windows

In diesem Abschnitt werden Einschränkungen im Produkt dargestellt. Die Einschränkungen sind nicht immer mit der Nummer der Änderungsanfrage verknüpft.

Identity Synchronisation für Windows benötigt für eine erfolgreiche Installation sun-sasl-2.19-4.i386.rpm .

Achte Sie vor der Installation von Identity Synchronisation für Windows auf Linux darauf, dass das Paket sun-sasl-2.19-4.i386.rpm auf Ihrem System installiert ist. Andernfalls schlägt die Installation von Identity Synchronisation für Windows fehl. Das SASL-Paket ist in den gemeinsam genutzten Komponenten der JES 5-Distribution oder einer höheren Distribution enthalten.

Ändern Sie die Dateizugriffsrechte nicht manuell.

Änderungen an den Dateizugriffsrechten an installierten Directory Server Enterprise Edition-Produktdateien können unter Umständen zu einer fehlerhaften Funktionsweise der Software führen.

Zum Umgehen dieser Einschränkung installieren Sie die Produkte als Benutzer, der über ausreichende Benutzer- und Gruppenberechtigungen verfügt.

Kein Failover für den Identity Synchronisation für Windows-Kerndienst.

Wenn Sie das System verlieren, in dem die Identity Synchronisation für Windows-Kerndienste installiert sind, müssen Sie es erneut installieren. Es besteht kein Failover für den Identity Synchronisation für Windows-Kerndienst.

Erstellen Sie eine Sicherung von ou=services (Konfigurationszweig von Identity Synchronisation für Windows DIT) im LDIF-Format und verwenden Sie diese Angaben bei der Neuinstallation von Identity Synchronisation für Windows.

Änderung im Authentifizierungsverhalten auf Microsoft Windows 2003 SP1.

Wenn Sie Windows 2003 SP1 installieren, wird den Benutzern standardmäßig eine Stunde eingeräumt

Wenn die Benutzer ihre Passwörter für Active Directory ändern, wird das bedarfsgesteuerte Synchronisierungsattribut dspswvalidate auf true festgelegt und kann das alte Passwort zur Authentifizierung am Directory Server verwendet werden. Das auf Directory Server synchronisierte Passwort ist dann das vorherige, alte Passwort, nicht das aktuell gültige Active Directory-Passwort.

Angaben zum Ausschalten dieser Funktion finden Sie unter Microsoft Windows-Support-Dokumentation.

Entfernen Sie serverroot.conf, bevor Sie Administration Server entfernen.

Zum Deinstallieren von Administration Server entfernen Sie /etc/mps/admin/v5.2/shared/config/serverroot.conf , bevor Sie das Administration Server-Paket entfernen.

Erwähnen Sie den Administrator-Jars-Pfad in CLASSPATH

CLASSPATH muss den Speicherort der Admin-Jars enthalten, das andernfalls während der Neusynchronisierung ein noClassDefFound-Fehler angezeigt wird.

Konfigurieren Sie die Einstellungen der PSO-Passwortrichtlinie, sodass Sie mit Directory Server Enterprise Edition übereinstimmen.

Active Directory 2003 und frühere Versionen verwenden Global Policy Objects (GPO), die global und domänenweit gelten. Aus diesem Grund sind die Passwortrichtlinie und die Einstellungen der Kontosperre inhärent global gültig. Ab Active Directory 2008 (oder 2008 R2) können abgestimmte Passwort Setting Objects (PSO) auf Domänenebene auf Einzelbenutzer oder Gruppen angewandt werden. Für Identity Synchronisation für Windows müssen die Passwortrichtlinie und die Einstellungen der Kontosperre für Active Directory und Directory Server Enterprise Edition einheitlich sein. Achten Sie darauf, dass die Einstellungen der Kontosperre, die für PSO definiert sind, mit der Richtlinie der Directory Server Enterprise Edition-Kontosperre übereinstimmen, die für einen bestimmten Benutzer oder Gruppe festgelegt werden. Achten Sie insbesondere darauf, dass die folgenden PSO-Attribute mit den Einstellungen in Directory Server Enterprise Edition übereinstimmen:

msDS-LockoutThreshold: Gibt an, wie häufig ein falsches Passwort eingegeben werden kann, bevor das Benutzerkonto gesperrt wird.
msDS-LockoutDuration: Gibt an, wie lange das Konto gesperrt wird, nachdem zu viele falsche Passwörter eingegeben wurden.

Wenn Active Directory darauf festgelegt ist, Verweise zurückzugeben, kann die bedarfgesteuerte Synchronisierung mehr Zeit beanspruchen und die Fehlermeldung UNWILLING TO PERFORM anzeigen. Zum Umgehen des Problems verwenden Sie den Befehl ldapmodify , um die folgende Änderung an dem Verzeichnisserver anzuwenden, auf dem das Identity Synchronisation für Windows-Plugin ausgeführt wird.

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

Keine Unterstützung für schreibgeschützte Domänen-Controller.

Identity Synchronisation für Windows benötigt einen beschreibbaren Domänen-Controller zum Synchronisieren der Erstellung und Änderung von Benutzern. Ein schreibgeschützter Controller wird nicht unterstützt.

Die Gruppensynchronisierung schlägt fehl, wenn die Attributzuordnung, der Erstellungsausdruck und das RDN-Attribut nicht wie empfohlen angegeben werden.

Sie müssen die Attributzuordnung, den Erstellungsausdruck und das RDN-Attribut wie unten dargestellt festlegen:

Die Attributzuordnung zwischen Sun Directory Server und Active Directory muss wie unten dargestellt definiert werden:
DS < ----- > AD cn cn uid samaccountname
Der Erstellungsausdruck muss wie unten dargestellt definiert werden:
for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>
Für Sun Directory Server-Benutzer muss das RDN-Attribut, das zu synchronisierten Gruppen gehört, uid sein.

Das Verhalten zum gleichzeitigen Aktualisieren eines Attributs ist undefiniert.

In der Gruppensynchronisierung sind die gleichzeitigen Änderungen eines Attributs eines Eintrags nicht definiert.