Identity Synchronization for Windows 限制
本部分列出了产品限制。限制并不总是与变更请求号相关联。
- Identity Synchronization for Windows 要求成功安装 sun-sasl-2.19-4.i386.rpm。
-
在 Linux 上,请先确保您的系统中已安装 sun-sasl-2.19-4.i386.rpm 软件包,再安装 Identity Synchronization for Windows。否则将无法安装 Identity Synchronization for Windows。您可以从 JES 5 或更高版本的共享组件中获得 SASL 软件包。
- 请勿手动更改文件权限。
-
在某些情况下,为已安装的 Directory Server Enterprise Edition 产品文件更改文件权限可能会使该软件无法正常运行。
要消除此限制,请以具有相应用户和组权限的用户身份安装产品。
- Identity Synchronization for Windows 核心服务没有故障转移功能。
-
如果您释放安装 Identity Synchronization for Windows 核心服务的系统,则需要再次进行安装。Identity Synchronization for Windows 核心服务没有故障转移功能。
以 LDIF 格式备份 ou=services(Identity Synchronization for Windows DIT 的配置分支),并在重新安装 Identity Synchronization for Windows 时使用此信息。
- Microsoft Windows 2003 SP1 上验证行为的更改。
-
您安装 Windows 2003 SP1 时,默认情况下用户可以有一小时的时间使用旧密码访问其帐户。
因此,用户在 Active Directory 上更改其密码时,按需同步属性 dspswvalidate 被设置为 true,因此可以使用旧密码进行目录服务器验证。此时,在目录服务器上同步的密码是先前的旧密码,而不是当前的 Active Directory 密码。
有关如何关闭此功能的详细信息,请参见 Microsoft Windows 支持文档。
- 先删除 serverroot.conf,再删除管理服务器
-
要卸载管理服务器,请先删除 /etc/mps/admin/v5.2/shared/config/serverroot.conf,再删除管理服务器软件包。
- 在 CLASSPATH 中提及 admin jar 路径
-
CLASSPATH 应包含 admin jar 的位置,否则重新同步过程中会显示 noClassDefFound 错误。
- 配置 PSO 密码策略设置以匹配 Directory Server Enterprise Edition
-
Active Directory 2003 及更早版本使用全局策略对象 (Global Policy Objects, GPO),该对象是全局性和域范围的。因此,密码策略和帐户锁定设置本质上是全局性的。但是,自 Active Directory 2008(或 2008 R2)起,域级别、细化的密码设置对象 (Password Setting Objects, PSO) 可以应用于单个用户或组。Identity Synchronization for Windows 要求 Active Directory 和 Directory Server Enterprise Edition 之间的密码策略和帐户锁定设置一致。请确保为 PSO 定义的帐户锁定设置与特定用户或组的 Directory Server Enterprise Edition 帐户锁定策略相匹配。确切地说,请确保以下 PSO 属性匹配 Directory Server Enterprise Edition 中的设置:
- msDS-LockoutThreshold
-
指定锁定用户帐户前允许的密码尝试失败次数
- msDS-LockoutDuration
-
指定密码尝试失败次数过多后帐户会锁定多长时间
如果 Active Directory 设置为返回引用,则按需同步可能需要较长时间,并返回 UNWILLING TO PERFORM 错误消息。解决方法是使用 ldapmodify 命令将以下更改应用至运行 Identity Synchronization for Windows 插件的目录服务器。
dn: cn=config,cn=pwsync,cn=config changetype: modify add: followreferrals followreferrals: FALSE
- 不支持只读域控制器
-
Identity Synchronization for Windows 要求可写域控制器以便同步用户创建和修改。它不支持只读控制器。
- 如果未按照建议指定属性映射、创建表达式和 RDN 属性,则组同步会失败。
-
您必须如下所述设置属性映射、创建表达式和 RDN 属性:
-
必须如下所述定义 Sun Directory Server 和 Active Directory 之间的属性映射:
DS < ----- > AD cn cn uid samaccountname
-
必须如下所述定义创建表达式:
for DS: uid=%uid%,<sync_base> for AD: cn=%cn%,<sync_base>
-
对于 Sun Directory Server 用户,属于已同步组的 RDN 属性必须是 uid。
-
- 未定义同时更新属性的行为。
-
在组同步中,未定义对条目属性的同时修改。
- © 2010, Oracle Corporation and/or its affiliates