Restrictions de Identity Synchronization pour Windows

Cette section répertorie les restrictions du produit. Les restrictions ne sont pas toujours associées à un numéro de demande de modification.

Identity Synchronization pour Windows requiert l'installation correcte desun-sasl-2.19-4.i386.rpm .

Sous Linux, vérifiez que le package sun-sasl-2.19-4.i386.rpm est installé avant d'installer Identity Synchronization pour Windows sur votre système. Sinon, Identity Synchronization pour Windows ne sera pas correctement installé. Vous pouvez prendre le package SASL des composants partagés de la distribution JES 5 ou ultérieure.

Ne modifiez pas manuellement les droits d'accès aux fichiers.

Les modifications des droits d'accès aux fichiers du produit Directory Server Enterprise Edition installé peuvent parfois empêcher le fonctionnement correct du système.

Il est possible de résoudre cette restriction en installant les produits en tant qu'utilisateur possédant des droits d'accès utilisateur et de groupe appropriés.

Aucun basculement du service de base de Identity Synchronization pour Windows.

Si vous perdez le système sur lequel sont installés les services de base de Identity Synchronization pour Windows vous devez procéder à une réinstallation. Le service de base de Identity Synchronization pour Windows n'est pas basculé.

Faites une copie de sauvegarde de ou=services (branche de configuration de l'arborescence d'informations d'annuaire de Identity Synchronization pour Windows DIT) au format LDIF et utilisez ces informations lors de la réinstallation de Identity Synchronization pour Windows.

Changement du comportement d'authentification sous Microsoft Windows 2003 SP1.

Lorsque vous installez Windows 2003 SP1, les utilisateurs sont autorisés par défaut à accéder à leurs comptes pendant une heure à l'aide de leurs anciens mots de passe.

Par conséquent, lorsque des utilisateurs modifient leurs mots de passe sous Active Directory, l'attribut de synchronisation à la demande dspswvalidate est défini sur true et l'ancien mot de passe peut être utilisé pour s'authentifier dans Directory Server. Le mot de passe synchronisé dans Directory Server est alors l'ancien mot de passe au lieu du mot de passe Active Directory actuel.

Reportez-vous à la documentation d'aide de Microsoft Windows pour plus d'informations sur la désactivation de cette fonctionnalité.

Supprimez serverroot.conf avant de supprimer le serveur d'administration.

Pour désinstaller le serveur d'administration, supprimez /etc/mps/admin/v5.2/shared/config/serverroot.conf avant de supprimer le package du serveur d'administration.

Indiquez le chemin d'accès aux fichiers admin jar dans CLASSPATH.

CLASSPATH doit contenir l'emplacement des fichiers admin jar. Si tel n'est pas le cas, une erreur noClassDefFound s'affiche pendant la resynchronisation.

Configurer les paramètres de la stratégie de mots de passe PSO qui correspondent à Directory Server Enterprise Edition

Active Directory 2003 et les versions antérieures utilisent des objets de stratégie globale (GPO), qui sont généraux et à l'échelle d'un domaine. Par conséquent, les paramètres de la stratégie de mots de passe et du verrouillage de compte sont généraux par nature. Toutefois, depuis Active Directory 2008 (ou 2008 R2), des objets de définition de mots de passe (PSO) au niveau des domaines et fins peuvent être appliqués à des utilisateurs individuels ou des groupes. Identity Synchronization pour Windows requiert l'uniformité des paramètres de la stratégie de mots de passe et du verrouillage de compte entre Active Directory et Directory Server Enterprise Edition Veillez à ce que les paramètres du verrouillage de compte définis pour le PSO correspondent à la stratégie de verrouillage de compte de Directory Server Enterprise Edition pour un utilisateur ou un groupe particulier. Veillez en particulier à ce que les attributs de PSO suivants correspondent aux paramètres de Directory Server Enterprise Edition:

msDS-LockoutThreshold

Indique le nombre d'échecs de tentatives de mots de passe autorisé avant le verrouillage du compte utilisateur

msDS-LockoutDuration

Indique la durée du verrouillage du compte après un trop grand nombre d'échecs de tentatives de mots de passe

Si Active Directory est configuré de façon à retourner des références, une synchronisation à la demande peut nécessiter une longue période et retourner un message d'erreur REFUSE DE S'EXCUTER. Pour résoudre ce problème, utilisez la commande ldapmodify pour appliquer la modification suivante au directory server sur lequel le plug-in de Identity Synchronization pour Windows est exécuté.

dn: cn=config,cn=pwsync,cn=config
changetype: modify
add: followreferrals
followreferrals: FALSE

Pas de prise en charge des contrôleurs de domaine en lecture seule

Identity Synchronization pour Windows nécessite un contrôleur de domaine inscriptible pour synchroniser la création et la modification des utilisateurs. Les contrôleurs en lecture seule ne sont pas pris en charge.

La synchronisation des groupes échoue si le mappage des attributs, l'expression de création et l'attribut RDN ne sont pas indiqués tel qu'il est recommandé.

Vous devez définir le mappage des attributs, l'expression de création et l'attribut RDN tel qu'indiqué ci-dessous :

• Le mappage des attributs entre Sun Directory Server et Active Directory doit être défini tel qu'indiqué ci-dessous :

  DS < ----- > AD cn cn uid samaccountname

• L'expression de création doit être définie tel qu'indiqué ci-dessous :

  for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>

• Pour les utilisateurs de Sun Directory Server, l'attribut RDN qui appartient à des groupes synchronisés doit être uid.

Le comportement visant à mettre un attribut à jour simultanément n'est pas défini.

Dans la synchronisation des groupes, les modifications simultanées d'un attribut d'une entrée ne sont pas définies.