Novell Identity Manager Driver User Manual

实施指南： Identity Manager Driver for Active Directory

Novell Identity Manager Driver for

Active Directory*

novdocx (CHS) 10 August 2006

3.1

2006 年 4 月 28 日

www.novell.com

实施指南

法律声明

Novell, Inc. 对本文档的内容或使用不做任何声明或保证，特别是对用于任何具体目的的适销性或适用性不做任何明示或暗示保证。另外， Novell, Inc. 保留随时修改本出版物及其内容的权利，并且没有义务将这类修改通知任何个人或实体。

Novell, Inc. 对任何软件不做任何声明或保证，特别是对用于任何具体目的的适销性或适用性不做任何明示或暗示保证。另外， Novell, Inc. 保留随时修改 Novell 软件全部或部分内容的权利，并且没有义务将这类修改通知任何个人或实体。

依据本协议提供的任何产品或技术信息都将受到美国出口控制和其他国家 / 地区的贸易法律的约束。您已经同意遵守所有的出口控制法规，并同意在出口、再出口或进口可交付产品之前取得任何必要的许可证或

分类证书。您已经同意不向目前的美国出口排除列表上的国家 / 地区或组织或者向美国出口法律中规定的任何被禁运的国家 / 地区或支持恐怖主义的国家 / 地区进行出口或再出口。您已经同意不将可交付产品用于禁止的核、导弹或生物化学武器的终端使用。有关出口 Novell 软件的详细信息，请参考 www.novell.com/

info/exports/。如果您未能获得任何必需的出口许可， Novell 不承担任何责任。

何部分或将其储存在检索系统上。

novdocx (CHS) 10 August 2006

Novell, Inc. 对本文档中介绍的产品中所包含的相关技术拥有知识产权。特别是，这些知识产权包括但不限于 http://www.novell.com/company/legal/patents/ 列出的一项或多项美国专利，以及在美国和其它国家 / 地区的一项或多项其它专利或申请中的专利。

Novell, Inc. 404 Wyman Street, Suite 500 Waltham, MA 02451 U.S.A. www.novell.com

联机文档：要访问本产品和其它 Novell 产品的联机文档或获取产品的更新，访问下列网址：

www.novell.com/documentation。

Novell 商标

ConsoleOne 是 Novell, Inc. 在美国和其它国家 / 地区的注册商标。

DirXML 是 Novell, Inc. 在美国和其它国家 / 地区的注册商标。

eDirectory 是 Novell, Inc. 的商标。

NCP 和 NetWare Core Protocol 是 Novell, Inc. 的注册商标。

NDS 和 Novell Directory Services 是 Novell, Inc. 在美国和其它国家 / 地区的注册商标。

NetWare 是 Novell, Inc. 在美国和其它国家 / 地区的注册商标。

Novell 是 Novell, Inc. 在美国和其它国家 / 地区的注册商标。

Novell Certificate Server 是 Novell, Inc. 的商标。

Novell Client 是 Novell, Inc. 的注册商标。

第三方资料

所有第三方商标均属其各自所有者的财产。

novdocx (CHS) 10 August 2006

关于本指南 3

1 概述 5

1.1 主要术语 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.1 Identity Manager . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.2 已连接系统 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.3 Identity Vault . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.4 Metadirectory 引擎 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

1.1.5 Active Directory 驱动程序. . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.1.6 驱动程序 Shim. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.1.7 远程装载程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2 新增功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2.1 驱动程序功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6

1.2.2 Identity Manager 功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3 系统间的数据传送 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.3.1 发布者通道和订购者通道 . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.4 默认的驱动程序配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

1.4.1 用户对象名称映射 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

1.4.2 数据流 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

novdocx (CHS) 10 August 2006

2 准备 Active Directory 13

2.1 Active Directory 前提条件. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

2.2 计划安装 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.2.1 在哪个位置安装 Active Directory 驱动程序和 Shim. . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.3 解决安全问题 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2.3.1 鉴定方法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

2.3.2 加密 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

2.3.3 远程装载程序和 Identity Manager 之间的 SSL 连接 . . . . . . . . . . . . . .19

2.4 创建管理帐户 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.5 熟悉驱动程序功能 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.5.1 多值特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19

2.5.2 使用自定义布尔特性管理帐户设置 . . . . . . . . . . . . . . . . . . . . . . 20

2.5.3 恢复 Active Directory 对象时保留 eDirectory 对象 . . . . . . . . . . . . . . .20

3 安装 Active Directory 驱动程序 21

3.1 基本步骤 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21

3.2 安装 Active Directory 驱动程序 Shim. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.1 在 Metadirectory 服务器上安装 Shim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

3.2.2 在远程装载程序上安装 Shim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25

3.3 安装预配置导入文件 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3.4 安装 Active Directory 发现工具 . . . . . . . . . . . . . . . . . . . . . . . . . . .28

4 配置 Active Directory 驱动程序 31

4.1 在 Designer 中导入驱动程序配置文件 . . . . . . . . . . . . . . . . . . . . . . . .31

4.2 在 iManager 中导入驱动程序配置文件 . . . . . . . . . . . . . . . . . . . . . . . . 31

4.3 配置参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32

5 升级 Active Directory 驱动程序 41

5.1 升级核对清单 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41

5.2 Login Disabled 值寻址. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

5.3 从 DirXML 1.1a 升级驱动程序 Shim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42

5.4 从 IDM 2.x 升级驱动程序 Shim. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.5 应用 Exchange 邮箱的覆盖 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 43

5.5.1 在 Designer 中应用覆盖 . . . . . . . . . . . . . . . . . . . . . . . . . . 44

5.5.2 在 iManager 中应用覆盖 . . . . . . . . . . . . . . . . . . . . . . . . . . 47

6 管理 Active Directory 驱动程序 49

6.1 安全性参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49

6.1.1 建议的安全性配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 50

6.2 管理组 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 51

6.3 管理 Microsoft Exchange 邮箱 . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

6.4 激活驱动程序 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 53

7 口令同步 55

novdocx (CHS) 10 August 2006

7.1 比较 Password Synchronization 1.0 与 Identity Manager 提供的口令同步 . . . . . . . . 55

7.2 将 Password Synchronization 1.0 升级为 Identity Manager 提供的口令同步 . . . . . . . 57

7.2.1 通过添加策略创建 Password Synchronization 1.0 的向后兼容性 . . . . . . . . 59

7.3 新的驱动程序配置和 Identity Manager 口令同步 . . . . . . . . . . . . . . . . . . . 62

7.4 升级现有的驱动程序配置以支持 Identity Manager 口令同步 . . . . . . . . . . . . . . 62

7.5 设置口令同步过滤器 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65

7.5.1 从一台计算机为所有域控制器配置口令过滤器 . . . . . . . . . . . . . . . . 66

7.5.2 针对每个域控制器单独配置口令过滤器 . . . . . . . . . . . . . . . . . . . 69

7.6 失败后重试同步 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

7.6.1 添加或修改事件之后重试 . . . . . . . . . . . . . . . . . . . . . . . . . 72

7.6.2 口令失效时间 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 72

8 查错 75

8.1 不能从发布者或订购者通道同步更改 . . . . . . . . . . . . . . . . . . . . . . . . 75

8.2 使用超出有效 NT 登录名范围的字符. . . . . . . . . . . . . . . . . . . . . . . . . 75

8.3 同步 c、 co 和 countryCode 特性 . . . . . . . . . . . . . . . . . . . . . . . . . . 75

8.4 同步操作特性 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.5 Windows 2003 上的口令复杂性 . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.6 错误讯息 LDAP_SERVER_DOWN. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76

8.7 口令同步的提示 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

8.7.1 提供初始口令 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

8.8 在哪里设置 SSL 参数 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

8.9 在订购者通道上执行用户添加操作后禁用了 Active Directory 帐户 . . . . . . . . . . . . 78

8.9.1 在 Active Directory 用户和计算机中禁用了帐户 . . . . . . . . . . . . . . . . 78

8.10 将父邮箱移动到子域 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

8.11 恢复 Active Directory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

8.12 将驱动程序移动到不同的域控制器 . . . . . . . . . . . . . . . . . . . . . . . . . 79

8.13 从 Active Directory 迁移 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

8.14 设置 LDAP 服务器搜索限制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79

A 更改对 CN=Deleted Objects 树枝的许可权限 81

实施指南： Identity Manager Driver for Active Directory

关于本指南

本指南说明如何安装、配置和管理 Identity Manager Driver for Active Directory。

 第 1 章 “概述” 在第 5 页  第 2 章 “准备 Active Directory” 在第 13 页  第 3 章 “安装 Active Directory 驱动程序” 在第 21 页  第 5 章 “升级 Active Directory 驱动程序” 在第 41 页  第 6 章 “管理 Active Directory 驱动程序” 在第 49 页  第 7 章 “口令同步” 在第 55 页  第 8 章 “查错” 在第 75 页  附录 A “更改对 CN=Deleted Objects 树枝的许可权限” 在第 81 页

读者

novdocx (CHS) 10 August 2006

本指南适用于 Active Directory 管理员、 Novell® eDirectory™ 管理员及其他实施 NT 域的 Identity Manager 驱动程序的人员。

反馈

我们希望听到您对于本手册和本产品包含的其它文档的意见和建议。请使用联机文档的每一页底端的《用户意见》功能，或进入 www.novell.com/documentation/feedback.html，然后在该网页中输入您的意见。

文档更新

有关本文档的最新版本，请访问驱动程序文档万维网站点 (http://www.novell.com/

documentation/lg/dirxmldrivers)。

其它文档

有关使用 Identity Manager 及其它 Identity Manager 驱动程序的文档，请参见 Identity Manager

文档万维网站点 (http://www.novell.com/documentation/lg/dirxml20)。

文档约定

在 Novell 文档中，大于号 (>) 用于分隔同一步骤中的各项操作，以及交叉参照路径中的各个项目。

商标符号（® 、 ™ 等）表示 Novell® 商标。星号 (

) 表示第三方商标。

关于本指南

novdocx (CHS) 10 August 2006

实施指南： Identity Manager Driver for Active Directory

概述

 “主要术语” 在第 5 页  “新增功能” 在第 6 页  “系统间的数据传送” 在第 7 页  “默认的驱动程序配置” 在第 7 页

1.1 主要术语

 “Identity Manager” 在第 5 页  “已连接系统” 在第 5 页  “Identity Vault” 在第 5 页  “Metadirectory 引擎” 在第 5 页  “Active Directory 驱动程序” 在第 6 页

novdocx (CHS) 10 August 2006

 “驱动程序 Shim” 在第 6 页  “远程装载程序” 在第 6 页

1.1.1 Identity Manager

Novell® Identity Manager 是一种服务，它可以使用一组可靠的可配置策略来同步一组已连接系统中的服务器之间的数据。 Identity Manager 使用 Identity Vault 储存共享的信息，并使用

Metadirectory 引擎对 Va u l t 或已连接系统中发生更改的信息进行基于策略的管理。 Identity Manager 在 Identity Vault 和 Metadirectory 引擎所在的服务器中运行。

1.1.2 已连接系统

已连接系统是指可通过驱动程序与 Identity Manager 共享数据的任何系统。 Active Directory 就是一种已连接系统。

1.1.3 Identity Vault

Identity Vault 是 eDirectory™ 维护的永久数据库， Identity Manager 使用它来保存与已连接系统同步的数据。可以狭义地将 Va u l t 看作 Identity Manager 的私用数据储存，也可以广义地将它看作可保存企业级数据的 Metadirectory。 Vault 中的数据可用于受 eDirectory 支持的任何协议，包括 NCP –・ onsoleOne

DSML。

和 iManager 等实用程序使用的传统协议）、 LDAP 和

由于 Va u lt 由 eDirectory 维护，因此，可通过将现有的目录树用作 Va u lt，将 Identity Manager 方便地集成到公司目录基础结构。

1.1.4 Metadirectory 引擎

Metadirectory 引擎是实现事件管理和 Identity Manager 策略的核心服务器。该引擎在 eDirectory 中的 Java* 虚拟机上运行。

概述

1.1.5 Active Directory 驱动程序

驱动程序可为已连接系统实现数据共享策略。可通过使用 iManager 定义过滤器和策略来控制驱动程序的操作。对于 Active Directory，驱动程序可实现单个域的策略。

1.1.6 驱动程序 Shim

驱动程序 Shim 是驱动程序的组件，它可以将基于 XML 的 Identity Manager 命令和事件语言 (XDS) 转换为与已连接系统交互时所需的协议和 API 调用。运行输出转换后，将调用 Shim 对已连接系统执行命令。命令通常在《订购者》通道上生成，但也可以在《发布者》通道上通过命令写回生成。

Shim 还可以针对输入转换策略在已连接系统上生成事件。可以在 Java 类中实现驱动程序 Shim，或者将驱动程序 Shim 作为本机 Windows DLL 文件来实现。 Active Directory 的 Shim 为 ADDriver.dll。

ADDriver.dll 被作为本机 Windows DLL 文件来实现。 ADDriver 使用若干个不同的 Windows API 来与 Active Directory 集成。通常这些 API 需要某种类型的登录和鉴定才能成功。同时， API 可能要求登录帐户在 Active Directory 中以及执行 ADDriver.dll 的计算机中具有某些权限和特权。

novdocx (CHS) 10 August 2006

如果使用远程装载程序， ADDriver.dll 将在运行了远程装载程序的服务器上执行。否则，它将在运行了 Metadirectory 引擎的服务器上执行。

1.1.7 远程装载程序

远程装载程序能使驱动程序 Shim 在 Metadirectory 引擎以外执行（有可能在不同的计算机上远程执行）。通常，当 Identity Manager 服务器无法满足驱动程序 Shim 的要求时，将使用远程装载程序。例如，如果 Metadirectory 引擎在 Linux 使用远程装载程序来执行 Active Directory 驱动程序 Shim。

远程装载程序是一种服务，它可以执行驱动程序 Shim，并可以在 Shim 和 Metadirectory 引擎之间传递信息。如果使用远程装载程序，则需要在运行了远程装载程序的服务器上（而不是在运行了 Metadirectory 引擎的服务器上）安装驱动程序 Shim。可以选择使用 SSL 来加密 Metadirectory 引擎和远程装载程序之间的连接。

如果将远程装载程序与 Active Directory 驱动程序 Shim 一起使用，则存在两种网络连接：

 域控制器和远程装载程序之间  Active Directory 和 Active Directory 驱动程序 Shim 之间

上运行，则可以在 Windows 服务器上

1.2 新增功能

 “驱动程序功能” 在第 6 页  “Identity Manager 功能” 在第 7 页

1.2.1 驱动程序功能

 平台登录是一个驱动程序 Shim 配置参数。它可为 Shim 启用本地登录。启用本地登录

后，《订购者》通道口令设置和口令修改将使用不需要 SSL 加密 LDAP 会话的平台口令管理 API。

实施指南： Identity Manager Driver for Active Directory

使用 CDOEXM 的 Exchange 操作将使用鉴定和授权的线程身份来减少 LDAP 通道以外的操作失败的可能性。有关详细信息，请参考第 4 章 “配置 Active Directory 驱动程

序” 在第 31 页。

 将更新驱动程序 Shim 配置参数。驱动程序参数使用灵活提示，这样可以更好地对参数

分类，以及更好地控制置于参数中的值。有一个下拉列表可以控制限制到一组已知值的参数，同时会检查需要整数值的参数是否存在无效字符。

 将添加两个驱动程序 Shim 配置参数，用于控制 Microsoft Exchange 邮箱的移动和删除。

在启用了 CDOEXM 和 Exchange 邮箱移动的情况下，如果对已经保留了 Exchange 邮箱的用户对象设置 homeMDB 特性值，将使该邮箱移至新的 Exchange 讯息数据库。 Shim 只支持域内移动：承载新的讯息数据库的 Exchange 服务器必须在 Shim 管理的同一域中。

 通过用户应用程序或策略增强对基于职能的权利的支持。请参见《Novell Identity

Manager 3.0 Administration Guide》（Novell Identity Manager 3.0 管理指南）中的

《Creating and Using Entitlements》（创建和使用权利）。

 驱动程序 Shim 包括对扩展查询 (query-ex) 的支持。扩展查询能使 LDAP 搜索的结果分

页。 Shim 可通过此功能将较大的数据集从 Active Directory 迁移到 Identity Vault。有关从 Active Directory 进行迁移的更多信息，请参见第 8 章 “查错” 在第 75 页。

novdocx (CHS) 10 August 2006

1.2.2 Identity Manager 功能

有关 Identity Manager 新功能的信息，请参见《Identity Manager 3.0 安装指南》中的

《Identity Manager 3 有哪些新功能？》。

1.3 系统间的数据传送

本节说明数据如何在 Active Directory 和 Identity Vault 之间流动。

1.3.1 发布者通道和订购者通道

Active Directory 驱动程序支持《订购者》和《发布者》通道。

《发布者》通道的功能如下：

 从域的 Active Directory 中读取事件，该域驻留在与驱动程序 Shim 连接的服务器上。  将该信息提交给 Identity Vault。

《订购者》通道的功能如下：

 监视对 Identity Vault 对象的添加和修改操作。  更改 Active Directory 以反映这些更改。

驱动程序可以配置为同时允许 Active Directory 和 Identity Vault 更新特定的特性。在此配置中，特性值由最近的更改决定，例外的情况是受过滤器和合并权限控制的合并操作。

1.4 默认的驱动程序配置

Active Directory 驱动程序附带了一个称为 ActiveDirectory.xml 的默认配置文件。使用 Designer 或 iManager 导入该配置文件时，会创建一个驱动程序，带有适用于与 Active Directory 同步的一组规则和策略。如果您对驱动程序的要求不同于默认策略，则需要更改

这些策略，以便达到所需策略的效果。请特别注意默认的匹配策略。您相信可用于匹配用户

概述

的数据通常不同于默认值。策略本身带有注释，导入测试驱动程序后，在 Designer 或 iManager 上检查这些策略可以更好地了解它们的功能。

1.4.1 用户对象名称映射

novdocx (CHS) 10 August 2006

通常， Identity Vault 的管理实用程序（例如 iManager 和 ConsoleOne）对用户对象的命名方

式，不同于 Microsoft

管理控制台 (MMC) 的《用户》和《计算机》咬接模块对用户对象的

命名方式。请确保您了解这些差别，以便能够正确实现所拥有的匹配策略和任何转换策略。

1.4.2 数据流

数据可以在 Active Directory 和 Identity Vault 之间流动。数据流受到为 Active Directory 驱动程序部署的策略的控制。

策略

策略可以控制 Active Directory 和 Identity Vault 之间的数据同步。

在配置驱动程序过程中，可以使用 Active Directory 配置文件选择用于影响默认策略以及为您创建的过滤器的多个选项。表 1-1 在第 8 页列出了这些选项，同时说明了它们如何影响策略和所创建的过滤器：

表 1-1 数据流选项

选项说明

《配置数据流》可以建立初始的驱动程序过滤器，该过滤器可控制将要

同步的类和特性。此选项的用途在于配置驱动程序，以便以最佳方式表示常规的数据流策略。导入后，可以更改该选项以反映特定的需求。

选择《Bidirectional （双向）》可设置类和特性，以便同步《发布者》和《订购者》通道。 Identity Vault 和 Active Directory 发生的更改会同时在两端进行反映。如果希望两端都成为授权的数据源，请使用此选项。

选择《AD 到 Vault》可设置类和特性，以便只同步《发布者》通道。

Active Directory 发生的更改将在 Identity Vault 中反映，但 Identity Vau lt 发生的更改将被忽略。如果希望 Active Directory 成为授权的数

据源，请使用此选项。

选择《Vault 到 AD》可设置类和特性，以便只同步《订购者》通道。

Identity Vault 发生的更改将在 Active Directory 中反映，但 Active Directory 发生的更改将被忽略。如果希望 Vault 成为授权的数据源，

请使用此选项。

《发布者布局》控制在 Identity Vault 中的哪个位置创建对象。

选择《镜像》可将对象放在 Identity Vault 的层次中，该层次与对象在 Active Directory 中所在的层次相同。

选择《平面》可将所有对象放在配置过程中指定的 Identity Vault 基本树枝中。

实施指南： Identity Manager Driver for Active Directory

选项说明

《订购者布局》控制如何将对象放在 Active Directory 中。

选择《镜像》可将对象放在 Active Directory 的层次中，该层次与对象在 Identity Vault 中所在的层次相同。

选择《平面》可将所有对象放在配置过程中指定的 Active Directory 基本树枝中。

表 1-2 在第 9 页列出了默认的策略，并说明了在配置过程中，选项如何影响这些策略：

表 1-2 默认策略

策略说明

novdocx (CHS) 10 August 2006

创建

匹配

布局

在镜像层次或平面层次中，必须定义全名，以便将 Active Directory 用户创建为 Identity Vault 用户。

在镜像层次中，匹配策略将尝试与位于层次中相同位置的对象匹配。

在平面层次中，匹配策略会尝试将用户与您在基本树枝中指定的具有相同全名的对象相匹配。

在镜像层次中，布局策略会将所有对象放在一个层次中，该层次可镜像发送操作的数据储存的层次。

在平面层次中，布局策略会将所有对象放在指定的基本树枝中。

纲要映射

下列 Identity Vault 用户特性、组特性和组织单元特性将映射到 Active Directory 用户特性和组特性。

表中列出的映射为默认映射。可以重映射相同类型的特性。

表 1-3 为所有类映射的特性

eDirectory Active Directory

CN cn

Description description

Facsimile Telephone Number facsimiletelephoneNumber

Full name displayName

Given Name givenName

Initials initials

Internet EMail Address mail

L physicalDeliveryOfficeName

Locality locality

概述

eDirectory Active Directory

Physical Delivery Office Name l

Postal Code PostalCode

Postal Office Box postOfficeBox

Sst

SA streetAddress

准备 Active Directory

本节包括：

 “Active Directory 前提条件” 在第 13 页  “计划安装” 在第 13 页  “解决安全问题” 在第 15 页  “创建管理帐户” 在第 19 页  “熟悉驱动程序功能” 在第 19 页

2.1 Active Directory 前提条件

 《Identity Manager 3.0 安装指南》的《安装 Identity Manager》一节中列出的 Novell®

Identity Manager 3.0 及其前提条件。

 Windows 2003 Server，或者带有 Service Pack 2 或更高版本的 Windows 2000 Server。  运行 Active Directory (AD) 驱动程序的服务器上以及目标域控制器上的 Internet Explorer

5.5 或更高版本。

 Active Directory 域控制器 DNS 名称或 IP 地址，具体取决于鉴定方法。

novdocx (CHS) 10 August 2006

此外，承载 Active Directory 驱动程序的服务器最好是 Active Directory 域的成员。供应 Exchange 邮箱和同步口令时需要这种条件。如果不需要这些功能，则只要使用简单（简单

联结）鉴定方式，服务器就可以是任何域的成员。要使用双向口令同步功能，必须选择

《协商》鉴定选项。

2.2 计划安装

可以在域控制器或成员服务器上安装 Active Directory 驱动程序。开始安装驱动程序之前，请确定以下事项：

 在哪个位置安装 Active Directory 驱动程序 Shim  如何解决安全问题

2.2.1 在哪个位置安装 Active Directory 驱动程序和 Shim

Active Directory 驱动程序 Shim 必须在一个受支持的 Windows 平台上运行。但是，不需要在此同一计算机上安装 Metadirectory 引擎。使用远程装载程序可以将引擎和驱动程序 Shim 分隔开来，这样便可以平衡不同计算机上的负载，或者适应公司的指令。

选择的安装方案将确定驱动程序 Shim 的安装方式。如果选择在 Identity Manager 所在的同一计算机（Metadirectory 引擎和 Identity Vault 位于该计算机上）上安装驱动程序 Shim，则

Identity Manager 将直接调用驱动程序 Shim。如果选择在另一台计算机上安装驱动程序 Shim，则必须使用远程装载程序。

在每种方案中，将以相同的方式安装驱动程序本身。请参见第 4 章 “配置 Active Directory

驱动程序” 在第 31 页。

准备 Active Directory

本地安装

单个 Windows 域控制器可以承载 Identity Vault、 Metadirectory 引擎和驱动程序。

图 2-1 方案 1 - 所有组件在一台服务器上

Identity Vault

Metadirectory ᓩ᪢

Active Directory 偅ࡼ⿟ᑣ

novdocx (CHS) 10 August 2006

ඳ᥻ࠊ఼

Active Directory 偅ࡼ⿟ᑣ Shim

Active Directory

此配置非常适合希望节省硬件成本的组织。这也是性能最高的配置，因为 Identity Manager

和 Active Directory 之间不存在网络交通。

但是，在域控制器上承载 Identity Vault 和 Metadirectory 引擎会增加控制器的总体负载，并

且会增大控制器出现故障的风险。由于域控制器在 Microsoft 联网中发挥着关键的作用，因

此，与添加硬件的成本相比，许多组织更看重域鉴定的速度，以及域控制器故障相关的风

险。

只在 Windows 服务器上远程安装

可通过 Active Directory 域控制器在独立的计算机上安装 Identity Vault、 Metadirectory 引擎和

驱动程序。使用此配置则不需要在域控制器上安装任何 Identity Manager 软件。

图 2-2 方案 2 - Active Directory 和驱动程序 Shim 在不同的服务器上

Identity Vault

Metadirectory ᓩ᪢

Active Directory 偅ࡼ⿟ᑣ

Active Directory 偅ࡼ⿟ᑣ Shim

Active Directory

㔥㒰䖲᥹

ඳ᥻ࠊ఼ Windows

᳡ࡵ఼

如果公司策略不允许在域控制器上运行驱动程序，则此配置很有吸引力。

在 Windows 和其它平台上远程安装

可以在 Active Directory 域控制器上安装远程装载程序和驱动程序 Shim，但需要在独立的服

务器上安装 Identity Vault 和 Metadirectory 引擎。

图 2-3 方案 3 - Active Directory、远程装载程序和驱动程序 Shim 在一台服务器上

䖰⿟㺙䕑⿟ᑣ

Active Directory 偅ࡼ⿟ᑣ Shim

Active Directory

实施指南： Identity Manager Driver for Active Directory

ඳ᥻ࠊ఼

㔥㒰䖲᥹

NetWareޔLinuxޔ

UNIX៪Windows ᳡ࡵ఼

Identity Vault

Metadirectory ᓩ᪢

Active Directory 偅ࡼ⿟ᑣ

如果 Identity Vault 和 Metadirectory 引擎 (Identity Manager) 不是在一种受 Windows 支持的平台版本上安装的，则此配置很有吸引力。

方案 2 和方案 3 配置可以排除在域控制器上承载 Identity Vault 和 Metadirectory 引擎所存在的性能影响。

在 Windows 成员服务器上远程安装

如果对平台有要求，并且存在域控制器的限制，则可以使用三服务器配置。

图 2-4 方案 4 - 三服务器配置

Identity Vault

Metadirectory

Active Directory

㔥㒰䖲᥹

ඳ᥻ࠊ఼ NetWareޔ LinuxޔUNIX

Windows

᳡ࡵ఼

䖰⿟㺙䕑⿟ᑣ

㔥㒰䖲᥹

Active Directory

偅ࡼ⿟ᑣ Shim

៪ Windows ᳡ࡵ఼

ᓩ᪢

Active Directory

偅ࡼ⿟ᑣ

novdocx (CHS) 10 August 2006

此配置的设置更复杂，但它可以适应某些组织实行的限制。此图中的两台 Windows 服务器是域的成员服务器。

2.3 解决安全问题

要考虑的主要安全问题是鉴定、加密和远程装载程序的使用。如果您具有 Windows 2003 或 Windows 2000 SP3 或更高版本，可以考虑使用一种称为《签名》的安全选项。请参见 “安

全性参数” 在第 49 页中的《使用签名》。

在管理安全性方面不可能有简单的方案，因为 Windows 提供的安全简报根据 Service Pack、 DNS 服务器基础结构、域策略以及服务器上的本地策略设置的不同而不同。以下各节将说明各个安全选项，并提供建议的配置。实施驱动程序和升级组件时，请特别注意安全性。

2.3.1 鉴定方法

通过鉴定，可以让 Active Directory 识别驱动程序 Shim，甚至可以让本地计算机识别驱动程序 Shim。要鉴定到 Active Directory，可以使用《协商》方法或《简单》（简单联结）方法。

表 2-1 鉴定方法

鉴定方法说明优点缺点

协商首选方法。

使用 Kerberos*、NTLM 或可插入鉴定模式（如果安

装了其中一种模式的话）。

驱动程序可以在域中的任何服务器上安装。

承载驱动程序的服务器必须是域的成员。

准备 Active Directory

鉴定方法说明优点缺点

novdocx (CHS) 10 August 2006

简单如果承载驱动程序 Shim

的服务器不是域的成员，则使用该方法。

驱动程序可以在不是域成员的服务器上安装。

某些供应服务不可用，例如 Exchange 邮箱供应和口令同步。

2.3.2 加密

SSL 可加密数据。根据配置，可以在两个地方使用 SSL：

 Active Directory 驱动程序和域控制器之间  Identity Vault 和运行 Active Directory 驱动程序的远程装载程序之间

口令同步发生在 Active Directory 和 Identity Vault (eDirectory) 之间。需确保对跨越网络的任

何通讯使用 SSL。

如果 Metadirectory 引擎、Identity Vault、Active Directory 驱动程序和 Active Directory 在同一

台计算机上，则不需要 SSL。通讯不跨越网络。

但是，如果使用成员服务器上的 Active Directory 驱动程序 Shim 来远程访问 Active

Directory，则需要在 Active Directory 驱动程序 Shim 和 Active Directory 之间设置 SSL。要完

成此设置，可以在驱动程序配置中将 SSL 参数设置为《是》。请参见 “远程装载程序和

Identity Manager 之间的 SSL 连接” 在第 19 页中的步骤 5 在第 18 页。

如果在域控制器上使用远程装载程序，则可以在 Metadirectory 引擎和远程装载程序之间设

置 SSL。有关 SSL 和远程装载程序的更多信息，请参见《Novell Identity Manager 3.0

Administration Guide》（Novell Identity Manager 3.0 管理指南）中的《Setting Up a Connected

System》（设置已连接系统）。

下表概括了在 “计划安装” 在第 13 页中介绍的每种方案中，哪些地方可以用到 SSL 连接：

表 2-2 SSL 连接

配置是否使用 SSL 连接

单服务器不必要使用 SSL 连接。

两台服务器： Identity Manager 和 Active

Directory 驱动程序在同一台服务器上

双服务器： Identity Manager 在一台服务

器上，但 Active Directory 驱动程序在另

一台服务器上

三服务器可以在 Active Directory 驱动程序和域控制器之间建立 SSL 连

可以在 Active Directory 驱动程序和域控制器之间建立 SSL 连接。

可以在 Identity Manager 和运行 Active Directory 驱动程序的远程装载程序之间建立 SSL 连接。

接。

还可以在 Identity Manager 和运行 Active Directory 驱动程序的远程装载程序之间建立 SSL 连接。

Active Directory 驱动程序和域控制器之间的 SSL 连接

要与 Active Directory 域控制器建立 SSL 连接，必须进行设置以使用 SSL。这涉及到设置证

书授权者，然后创建、导出和导入必需的证书。

实施指南： Identity Manager Driver for Active Directory

设置证书授权者

大多数组织已有证书授权者。在这种情况下，需要导出有效的证书，然后将它导入到域控制器上的证书储存中。承载驱动程序 Shim 的服务器必须信任该证书的颁发证书授权者所链接到的根证书授权者。

如果组织中没有证书授权者，则必须建立一个证书授权者。 Novell、Microsoft 和某些其它第三方均提供了用于建立证书授权者所必需的工具。建立证书授权者不属于本指南介绍的范围。有关更多信息，请参见

 《Novell Certificate Server™ 2.5 Administration Guide》（Novell Certificate Server™ 2.5 管

理指南） (http://www.novell.com/documentation/lg/crt252/index.html)

 《Microsoft Step-by-Step Guide to Setting up a Certificate Authority》（Microsoft 设置证书

授权者分步指南） (http://www.microsoft.com/windows2000/techinfo/planning/security/

casetupsteps.asp)

创建、导出和导入证书

具备证书授权者以后，要使 LDAP SSL 的操作成功，必须在 LDAP 服务器上安装相应的服务器鉴定证书。同时，承载驱动程序 Shim 的服务器必须信任颁发这些证书的授权者。服务器和客户机都必须支持 128 位加密。

novdocx (CHS) 10 August 2006

1 生成符合下列 Active Directory LDAP 服务要求的证书：

 LDAPS 证书位于本地计算机的个人证书储存中（编程上称为计算机的《MY 证书

储存》）。

 与证书匹配的私用密钥位于本地计算机的储存中，并且与证书适当地关联。

不得为私用密钥启用强私用密钥保护。

 《增强型密钥使用》扩展包括服务器鉴定 (1.3.6.1.5.5.7.3.1) 对象标识符（又称

《OID》）。

 在下列其中一个位置显示域控制器的 Active Directory 完全限定域名（例如

DC01.DOMAIN.COM）：

 《主题》字段中的常用名 (CN)。  《主题备用名》扩展中的 DNS 项。

 证书是由域控制器和 LDAPS 客户机信任的 CA 颁发的。

要建立信任，可配置客户机和服务器，以信任颁发的 CA 链接到的根 CA。

此证书允许域控制器上的 LDAP 服务进行侦听，并自动接受 LDAP 和全局编目交通的 SSL 连接。

注释 : Microsoft 知识库文章 321051 《How to Enable LDAP over SSL with a Third-Party

Certificate Authority (http://support.microsoft.com/default.aspx?scid=kb;en-us;321051)》中

显示了此信息。有关最新要求和更多信息，请查阅本文档。

2 以 Windows 2000 支持的下列其中一种标准证书文件格式导出此证书：

 个人信息交换（PFX，又称《PKCS #12》）  加密消息语法标准 (PKCS #7)  判别编码规则 (DER) 二进制 X.509 编码  Base64 编码 X.509

准备 Active Directory

3 在域控制器上安装此证书。

下列链接包含每种受支持平台的指导：

 如何：在 Windows Server 2003 中的万维网服务器上安装导入的证书 (http://

support.microsoft.com/default.aspx?scid=kb;en-us;816794)

 如何：在 Windows 2000 中的万维网服务器上安装导入的证书 (http://

support.microsoft.com/default.aspx?scid=kb;EN-US;310178)

请遵循《将证书导入本地计算机储存》中列出的指导。

4 请确保在承载驱动程序 Shim 的服务器和颁发证书的根证书授权者之间建立信任关系。

承载驱动程序 Shim 的服务器必须信任颁发证书授权者所链接到的根证书授权者。有关为证书建立信任的更多信息，请参见《Windows 2000 Server 帮助》中的主题《建

立根证书授权者信任的策略》。

5 在 iManager 中编辑驱动程序属性，然后将《使用 SSL （是 / 否）》选项更改为

《是》。

novdocx (CHS) 10 August 2006

6 重启动驱动程序。

重启动驱动程序时，将在域控制器和运行 Active Directory 驱动程序 Shim 的服务器之间协商 SSL 连接。

校验证书

要校验证书，请通过 SSL 鉴定到 AD。使用 Windows 服务器上提供的 ldifde 命令行实用程

序。要使用 ldifde 命令，请执行下列操作：

1 打开命令行提示符 2 输入 ldifde -f output/input file -t 636 -b administrator domain password -s computerFullName

以下是为端口 636 配置了服务器的情况下，可输入的内容的示例。

ldife -f out.txt -t 636 -b administrator dxad.novell.com novell -s parent1.dxad3.lab.novell

输出将被发送到 out.txt 文件。如果打开文件后看到 Active Directory 中列出了对象，则表示

已成功地与 Active Directory 建立了 SSL 连接，并且证书有效。

实施指南： Identity Manager Driver for Active Directory

2.3.3 远程装载程序和 Identity Manager 之间的 SSL 连接

如果使用的是远程装载程序，则需要在 Metadirectory 引擎和远程装载程序之间设置 SSL，同时在驱动程序和 Active Directory 之间配置设置。

有关在远程装载程序和 Identity Manager 之间建立 SSL 连接的信息，请参见《Novell Identity

Manager 3.0 Administration Guide》（Novell Identity Manager 3.0 管理指南）中的《Setting Up Remote Loaders》（设置远程装载程序）。

2.4 创建管理帐户

在测试环境中，请一直使用管理员帐户，直到 Active Directory 驱动程序开始工作。然后创建一个具有适当权限（包括受限权限）的管理帐户， Active Directory 驱动程序可专门使用此帐户鉴定到 Active Directory。

如果采取这种做法，更改其它管理帐户时 Identity Manager 管理帐户不受影响。此设计的优势为：

 可以使用 Active Directory 审计来跟踪 Active Directory 驱动程序的活动。  可以像对待其它帐户一样实现口令更改策略，然后对驱动程序配置进行必要的更新。

novdocx (CHS) 10 August 2006

此帐户的名称和口令储存在驱动程序配置中。因此，只要帐户口令发生更改，就必须更改此口令。如果更改帐户口令但不更新驱动程序配置，则下一次重启动驱动程序时，鉴定将会失败。

要使《发布者》通道运行，此帐户的域根至少必须有《读》和《复制目录更改》权限。对于《订购者》通道修改的任何对象，还需要有《写》权限。可以将《写》权限限制到由

《订购者》通道写入的那些树枝和特性。

要衡量 Exchange 邮箱， Identity Manager 帐户必须具有对登录帐户的 " 起操作系统的部分作用 " 许可权限。

要查看删除的对象， Windows 2003 要求具有其它权限。请参见附录 A“更改对 CN=Deleted

Objects 树枝的许可权限” 在第 81 页。

2.5 熟悉驱动程序功能

本节介绍在部署 Active Directory 驱动程序之前应该熟悉的驱动程序功能。

2.5.1 多值特性

与版本 2 相比，更改了 Active Directory 驱动程序处理多值特性的方式。

准备 Active Directory

在 " 添加 " 或 " 修改 " 操作中，版本 2 会忽略除第一个更改值以外的所有更改值，从而将 "

订购者 " 通道上的多值特性视为单值特性。 Active Directory 驱动程序版本 3 完全支持多值特

性。

但是， Active Directory 驱动程序将多值特性与单值特性同步时，会将多值特性视为单值特

性。例如，在 Active Directory 中，Telephone Number 特性是单值特性，而在 Identity Vault 中

它是多值特性。从 Active Directory 同步该特性时， Identity Vault 中只会储存单值。

这可以在两个特性之间创建真正的同步和映射，但是，如果已映射到单值特性的某个特性含

有多个值，则这会导致潜在的数据丢失。在多数情况下，如果您的应用环境需要的话，可以

用一个策略将其它值保存在其它位置。

2.5.2 使用自定义布尔特性管理帐户设置

如果在 Microsoft 管理控制台中将帐户设置为在 2006 年 7 月 15 日失效，则 eDirectory 特性

不允许设置时间值，默认值为 12:00 AM。

驱动程序使用限制性最大的设置。根据您的具体需求，可以在 Microsoft 中对失效时间增加

一天。

novdocx (CHS) 10 August 2006

2.5.3 恢复 Active Directory 对象时保留 eDirectory 对象

在同步通过 Active Directory 工具恢复的任何 Active Directory 对象时，这些对象将删除关联

的 eDirectory 对象。 Active Directory 驱动程序会查找 Active Directory 对象的 isDeleted 特性

发生的更改。如果驱动程序在该特性中检测到更改，则系统将通过驱动程序针对与 Active

Directory 对象关联的对象发出删除事件。

如果不希望删除 eDirectory 对象，则必须将其它策略添加到 Active Directory 驱动程序。

Identity Manager 3.0 带有一个预定义规则，该规则可以将所有《删除》事件更改为《去除

关联》事件。有关详细信息，请参见《Policy Builder and Driver Customization Guide》（策

略构建器和驱动程序自定义指南）中的《Command Transformation - Publisher Delete to

Disable》（命令转换 - 发布者删除 - 禁用）。

实施指南： Identity Manager Driver for Active Directory

安装 Active Directory 驱动程序

 “基本步骤” 在第 21 页  “安装 Active Directory 驱动程序 Shim” 在第 22 页  “安装预配置导入文件” 在第 27 页  “安装 Active Directory 发现工具” 在第 28 页

3.1 基本步骤

下图说明了在安装 Identity Manager 时可以选择的选项。

图 3-1 Identity Manager 安装选项

novdocx (CHS) 10 August 2006

表 3-1 Identity Manager 安装选项

选项说明

Metadirectory 服务器安装 Metadirectory 引擎和 Identity Manager

已连接系统安装远程装载程序

Identity Manager 万维网组件安装预配置（样本）驱动程序配置文件

实用程序安装 Active Directory 发现工具

安装 Active Directory 驱动程序 Shim 需要三个基本步骤：

安装 Active Directory 驱动程序

表 3-2 安装步骤

步骤安装期间要选择的选项

novdocx (CHS) 10 August 2006

1. 在 Metadirectory 引擎服务器或远程装载程序服务

器上安装 Active Directory 驱动程序 Shim。

2. 在 iManager 服务器上安装 Active Directory 的预

配置导入文件。

3. 在工作站上安装用于配置 Identity Manager 的

Active Directory 发现工具。

选择《Metadirectory 服务器》或《Identity Manager 已连接系统》选项。请参见 “安装 Active

Directory 驱动程序 Shim” 在第 22 页。

选择《Identity Manager 万维网组件》选项。请参见 “安装预配置导入文件” 在第 27 页。

选择《实用程序》选项。请参见 “安装 Active

Directory 发现工具” 在第 28 页。

通常，在安装 Metadirectory 服务器（或远程装载程序）和万维网组件时安装 Active

Directory 驱动程序组件。但是，也可以稍后安装这些组件。

3.2 安装 Active Directory 驱动程序 Shim

 “在 Metadirectory 服务器上安装 Shim” 在第 22 页  “在远程装载程序上安装 Shim” 在第 25 页

3.2.1 在 Metadirectory 服务器上安装 Shim

1 在运行了 Identity Vault 和 Metadirectory 引擎的服务器上启动 Identity Manager 安装。

从 Identity Manager CD 或下载映象运行安装程序。

2 在《欢迎》对话框中单击《下一步》，然后接受许可协议。 3 查看第一个《Identity Manager 概述》对话框中的信息，然后单击《下一步》。

该对话框提供有关下列项目的信息：

 Metadirectory 服务器  已连接系统服务器

4 查看第二个《Identity Manager 概述》对话框中的信息，然后单击《下一步》。

该对话框提供有关下列项目的信息：

 基于万维网的管理服务器  实用程序

实施指南： Identity Manager Driver for Active Directory

+ 59 hidden pages

Novell Identity Manager Driver User Manual

Specifications and Main Features

Frequently Asked Questions

User Manual

实施指南： Identity Manager Driver for Active Directory

关于本指南

概述

1.1 主要术语

1.1.1 Identity Manager

1.1.2 已连接系统

1.1.3 Identity Vault

1.1.4 Metadirectory 引擎

1.1.5 Active Directory 驱动程序

1.1.6 驱动程序 Shim

1.1.7 远程装载程序

1.2 新增功能

1.2.1 驱动程序功能

1.2.2 Identity Manager 功能

1.3 系统间的数据传送

1.3.1 发布者通道和订购者通道

1.4 默认的驱动程序配置

1.4.1 用户对象名称映射

1.4.2 数据流

准备 Active Directory

2.1 Active Directory 前提条件

2.2 计划安装

2.2.1 在哪个位置安装 Active Directory 驱动程序和 Shim

2.3 解决安全问题

2.3.1 鉴定方法

2.3.2 加密

2.3.3 远程装载程序和 Identity Manager 之间的 SSL 连接

2.4 创建管理帐户

2.5 熟悉驱动程序功能

2.5.1 多值特性

2.5.2 使用自定义布尔特性管理帐户设置

2.5.3 恢复 Active Directory 对象时保留 eDirectory 对象

安装 Active Directory 驱动程序

3.1 基本步骤

3.2 安装 Active Directory 驱动程序 Shim

3.2.1 在 Metadirectory 服务器上安装 Shim