Limitaciones de Identity Synchronization para Windows

En esta sección, se enumeran las limitaciones del producto. Las limitaciones no siempre están asociadas al número de solicitud de cambio.

Identity Synchronization para Windows necesita sun-sasl-2.19-4.i386.rpm para instalarse satisfactoriamente.

En Linux, antes de instalar Identity Synchronization para Windows, asegúrese de que el paquete sun-sasl-2.19-4.i386.rpm esté instalado en el sistema. De lo contrario, no se completará la instalación de Identity Synchronization para Windows. El paquete SASL se encuentra disponible en los componentes compartidos de la distribución JES 5 o posterior.

No cambie los permisos de archivo manualmente.

En algunos casos, los cambios realizados en los permisos de los archivos del producto Directory Server Enterprise Edition pueden impedir que el software funcione correctamente.

Para solucionar esta limitación, realice la instalación como un usuario con los permisos de usuario y grupo adecuados.

El servicio central de Identity Synchronization para Windows no dispone de conmutación por error.

Si se pierde el sistema en el que se han instalado los servicios centrales de Identity Synchronization para Windows, deberá instalarlo de nuevo. El servicio central de Identity Synchronization para Windows no dispone de conmutación por error.

Utilice la información de una copia de seguridad de ou=services (la rama de configuración del DIT de Identity Synchronization para Windows) con el formato LDIF al reinstalar Identity Synchronization para Windows.

Cambio en el comportamiento de autenticación de Microsoft Windows 2003 SP1.

Al instalar Windows 2003 SP1, a los usuarios se les concede de forma predeterminada una hora para que accedan a sus cuentas con sus contraseñas antiguas.

Por consiguiente, cuando los usuarios cambian las contraseñas en Active Directory, el atributo de sincronización a petición dspswvalidate se establece en "true" (verdadero) y la contraseña antigua puede utilizarse para la autenticación en Directory Server. La contraseña que se sincroniza en Directory Server es la anterior (la contraseña antigua) en lugar de la contraseña actual de Active Directory.

Consulte la documentación de asistencia técnica de Microsoft Windows para obtener más información sobre cómo activar esta función.

Suprima serverroot.conf antes de eliminar el servidor de administración.

Para desinstalar el servidor de administración, suprima /etc/mps/admin/v5.2/shared/config/serverroot.conf antes de eliminar el paquete de esta aplicación.

Indica la ruta de los archivos jar de administración en CLASSPATH.

CLASSPATH debería contener la ubicación de los archivos jar; de lo contrario, se mostrará el error noClassDefFound durante la resincronización.

Establezca la configuración de la directiva de contraseñas de PSO para adaptarla a Directory Server Enterprise Edition.

Active Directory 2003 y las versiones anteriores utilizan los objetos de directiva global (GPO), que abarcan tanto un nivel global como de dominio. Por lo tanto, la configuración de bloqueo de cuenta y directiva de contraseñas presenta una naturaleza global. Sin embargo, a partir de la versión Active Directory 2008 (o 2008 R2), se pueden aplicar objetos precisos de configuración de contraseña de nivel de dominio a usuarios o grupos individuales. Identity Synchronization para Windows necesita que la configuración de bloqueo de cuenta y directiva de contraseñas sea uniforme entre Active Directory y Directory Server Enterprise Edition Asegúrese de que la configuración de bloqueo de cuenta del objeto PSO coincida con la directiva de bloqueo de cuenta de Directory Server Enterprise Edition de un determinado grupo o usuario. En concreto, asegúrese de que los siguientes atributos de PSO coincidan con la configuración de Directory Server Enterprise Edition:

msDS-LockoutThreshold

Especifica el número de intentos erróneos de introducción de la contraseña que se permiten antes de que se bloquee la cuenta de usuario.

msDS-LockoutDuration

Especifica la duración del bloqueo de la cuenta tras realizarse varios intentos erróneos de introducción de la contraseña.

Si Active Directory se configura para que devuelva referencias, la sincronización a petición puede requerir un periodo de tiempo prolongado y devolver el mensaje de error UNWILLING TO PERFORM (No dispuesto a funcionar). Para solucionar este problema, utilice el comando ldapmodify a fin de aplicar el siguiente cambio al servidor de directorios en el que se está ejecutando el complemento de Identity Synchronization para Windows.

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

No se admiten los controladores de dominio de sólo lectura.

Identity Synchronization para Windows necesita un controlador de dominio con capacidad de escritura para sincronización la creación y la modificación de usuarios. No se admite un controlador de sólo lectura.

La sincronización de grupos presentará errores si no se especifican la asignación de atributos, la expresión de creación ni el atributo RDN, tal y como se recomienda.

Debe establecer la asignación de atributos, la expresión de creación y el atributo RDN, como se indica a continuación.

• La asignación de atributos entre Sun Directory Server y Active Directory debe definirse como se indica a continuación:

  DS < ----- > AD cn cn uid samaccountname

• La expresión de creación debe definirse como se indica a continuación.

  for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>

• Si se utiliza Sun Directory Server, el atributo RDN que pertenece a los grupos sincronizados debe establecerse en uid.

No se ha definido el comportamiento para la actualización simultánea de un atributo.

En la sincronización de grupos, no se han definido las modificaciones simultáneas de un atributo de una entrada.