DriverParametersOverview
Материал из Xgu.ru
[править] Driver name
Имя драйвера
В связи с тем, что каждый Active Directory домен требует наличие отдельного драйвера, рекомендуется включать в имя драйвера имя соответствующего домена
[править] Authentication Method
Метод аутентификации с доменом Active Directory
Используется два типа методов аутентификации:
1 - Negotiate
2 - Simple
Negotiate - привилегированный метод. При выборе этого метода используются пакеты безопасности Microsoft для negotiate(вести переговоры) аутентификации. Для использования этого метода необходимо, чтобы компьютер, на котором находится драйвер, был членом этого домена.
Если планируется использовать синхронизацию паролей необходимо использовать SSL
Simple - использует простой формат LDAP (Simple uses an LDAP simple bind). При использовании этого метода аутентификации рекомендуется использовать SSL и следует иметь ввиду, что этот метод не поддерживает синхронизацию паролей и Exchange обеспечение(Exchange provisioning)
[править] Authentication Id
Пользователь Active Directory с правами администратора для использования Identity Manager. Этот параметр зависит от выбранного типа метода аутентификации:
- Для Negotiate метода могут быть использованы:
Administrator - AD Logon Name
или
Domain/Administrator - Domain qualified AD Logon Name
- Для Simple:
cn=administrator,cn=users,dc=domain,dc=com
[править] Authentication Password
Пароль пользователя, указанного в Authentication Id
[править] Authentication Context
Имя Active Directory домен-контроллера, который используется для сихронизации
Для Negotiate метода аутентификации используется DNS-имя ( mycontroller.domain.com)
Для Simple метода аутентификации может быть использованы или IP-адрес или DNS-имя контроллера
Если параметр не указан - то используется значение localhost
[править] Domain Name
Домен Active Directory, используемый драйвером. Записывается в формате LDAP, например:
dc=domain,dc=com
[править] Domain DNS Name
DNS-имя домена Active Directory, например:
domain.com
[править] Driver Polling Interval
Время обновления событий. eDirectory посылает события в Active Directory по мере их поступления. А события в Active Directory обрабатываются Identity Vault через определённые промежутки времени, определяемые параметром Driver Polling Interval. По умолчанию это время - 1 минута. Если установлено значение на ноль, то обновление будет проходить каждые 10 секунд.(a ten-second poll rate)
[править] Password Sync Timeout
Время сихронизации паролей (в минутах)
Устанавливается в заваисимости от частоты смены паролей. Если частота смены паролей высока - то необходимо устанавливать интервал достаточно большой, чтобы выполнить сихронизацию. Вполне реальное значение - один пароль в одну секунду. Например, для сихронизации 18000 паролей необходимо 300 минут ( 18000 паролей поделённых на 60 секунд).
Если указано значение -1, то, хотя и может прооперировать большое число изменений, но может вызвать определенные проблемы. Например, пароль может вообще не сихронизироваться, поскольку учетная запись не может быть ассоциирована. Следовательно - такой пароль останется не сихронизированным в системе навсегда. Подобные ситуации могут привести к созданю большого числа не сихронизированных паролей.
Если установлено нулевое значение - то сихронизация паролей не осуществляется (более подробно об этом смотрите на How to Disable Password Synchronization on a Driver).
Рекомендуемое значение - три Driver Polling интервала.
[править] Driver is Local/Remote
Конфигурация драйвера на использование сервиса Remote Loader при выборе Remote или на локальное использование при выборе Local
[править] Remote Host Name and Port
Имя хоста, или IP-адрес, и номер порта где установлен и запущен для данного драйвера сервис Remote Loader.
Эта опция появляется при выборе параметра Driver is Local/Remote на Remote.
[править] Driver Password
Remote Loader использует Driver Object Password для аутентификации в Identity Manager сервере. Этот же пароль должен быть указан при конфигурации Remote Loader в поле Driver Object Password.
Эта опция появляется при выборе параметра Driver is Local/Remote на Remote.
[править] Remote Password
Этот пароль используется для контроля доступа к Remote Loader. Такой же пароль должен быть указан при конфигурации Remote Loader в поле Remote Loader Password.
Эта опция появляется при выборе параметра Driver is Local/Remote на Remote.
[править] Base container in eDirectory
Этот параметр определяет базовый контейнер в Identity Vault для синхронизации. Этот контейнер используется Subscriber Matching политиками для ограничения синхронизируеммых объектов eDirectory и политиками Publisher Placement при добавлении объектов в Identity Vault. Вновь созданные пользователи будут попадать в этот контейнер. Для записи используется точечный формат:
myusers.myorg
[править] Publisher Placement
Mirrored - устанавливает объекты иерархически в пределах базового контейнера.
Flat - устанавливает объекты строго в пределах базового контейнера.
На основании этого выбора строятся Publisher Placement политики.
Если выбирается Mirrored драйвер принимает структуру конрейнера eDirectory за основу и требует наличия такой же иерархии в соответствующем контейнере Active Directory. Если структура контейнера Active Directory не идентична контейнеру eDirectory, то пользователь не будет корректно создан. Необходимо полностью повторить структуру базового контейнера eDirectory вручную, или мигрировать сначала eDirectory контейнеры перед созданием пользователей.
[править] Base container in Active Directory
Определение в LDAP формате базового контейнера Active Directory. Вновь созданные пользователи будут попадать в этот контейнер. Например:
OU=Users,DC=MyDomain,DC=com
или
OU=Sales,OU=South,DC=MyDomain,DC=com
[править] Active Directory Placement
Mirrored - устанавливает объекты иерархически в пределах базового контейнера
Flat - устанавливает объекты строго в пределах базового контейнера.
На основании этого выбора строятся Subscriber Placement политики.
Если выбирается Mirrored то драйвер принимает структуру базового контейнера Active Directory и требует наличия такой же иерархии в базовом контейнере eDirectory. Если структура не совпадает - то пользователь будет создан не корректно. Перед созданием или миграцией пользователей необходимо полностью повторить структуру базового контейнера Active Directory в базовом контейнере eDirectory.
[править] Configure Data Flow
Определяет начальный фильтр драйвера, определяющий классы и объекты синхронизации. Цель этой опции - конфигурация драйвера для определения политик потока данных, которые могут быть впоследствии отредактированы после импорта параметров драйвера.
Bidirectional - это значение устанавливает классы и артрибуты для синхронизации в обоих Publisher и Subscriber каналах. Изменения в Identity Vault или Active Directory автоматически отражаются на другую сторону. Используйте эту опцию если Вы хотите, чтобы обе стороны были авторитативнимы источниками данных.
AD to Vault - это значение устанавливает классы и артрибуты для синхронизации только в Publisher канале. Изменение в Active Directory отражаются в Identity Vault, а изменения Identity Vault игнорируются. Использование этой опции определяет Active Directory авторитативным источником данных.
Vault to AD - это значение устанавливает классы и артрибуты для синхронизации только в Subscriber канале. Изменение в Identity Vault отражаются в Active Directory, а изменения Active Directory игнорируются. Использование этой опции определяет Identity Vault авторитативным источником данных.
Примечание: События удаления, перемещения или переименования независят от фильтра. Эти события будут отработаны не зависимо от выбранной опции. Если существует необходимость отключить данные события - необходимо изменить значения по умолчанию настраиваемого драйвера. Вы можете использовать одну из встроенных политик, поставляемых с Identity Manager 3.5, для изменения события Delete в событие Remove Association. Более подробно смотрите Command Transformation - Publisher Delete на Disable в Policies в Designer 2.0. Чтобы блокировать Move и Rename события, необходимо модифицировать драйвер.
[править] Password Failure Notification User
Политики синхронизации паролей сконфигурированы так, чтобы посылать по электронной почте уведомления указанному пользователю о неудачной коррекции пароля. Существует возможность отправки копии письма уведомления другому пользователю, например, администратору безопасности, указав DN этого пользователя. В противном случае, оставьте это проле пустым.
[править] Configure Entitlements
Драйвер может быть сконфигурирован на использование Entitlements(права???!!), для управления учетными записями и членства в группах в Active Directory и для управления почтовыми ящиками Еxchange (provision Exchange mailboxes). При использовании Entitlements, драйвер работает вместе с внешними приложениями, например, Identity Manager User Application или Role-Based Entitlements to control the conditions under which these features are provisioned or de-provisioned in Active Directory. Смотрите Entitlements более подробно.
Значение Yes позволяет использовать одну из этих внешних услуг, для управления provisioning в Active Directory.
Значение No отключает возможность использования Identity Manager User Application или provisioning почтовых ящиков Exchange.
[править] User account policy
Эта опция появляестся при выборе Yes в Configure Entitlements
Учетные записи Active Directory могут контролироваться синхронизациеий или использованием Entitlements вместе с Workflow service или Role-Based Entitlements.
Entitlements предоставляет возможность включения учетных записей Active Directory в Entitlement Identity Vault.
Implement in policy использует политики драйвера вместо Entitlements.
[править] Exchange policy
Эта опция появляестся при выборе Yes в Configure Entitlements.
Exchange provisioning может контролироваться политикой драйвера, Entitlements, или вовсе игнорироваться. Пользователю может быть назначен почтовый ящик Exchange (включение пользовательсокого почтового ящика) или может быть использована запись о другом почтовом ящике в eDirectory (включение пользовательской почты). При использовании политики драйвера, решение о включениии почтового ящика Exchange или другой пользовательской почты, а также будущее расположение базы сообщений пользователя в Exchange, полностью будет контролироваться политикой.
При использовании опции Entitlements, внешний сервис, например, сервис Workflow или Role-Based Entitlements принимает эти решения и политика драйвера просто прилагает их.
Опция Implement in policy использует политики на драйвере вместо Entitlements для назначения почтовых ящиков Exchange.
При выборе None, согласно конфигурации по умолчанию, не создается почтовый ящик Exchange, но синхронизируется атрибут Identity Vault Internet E-Mail Address с атрибутом почты Active Directory.
[править] Group membership policy
Эта опция появляестся при выборе Yes в Configure Entitlements
Членством в группах в Active Directory можно управлять контролируя списки члеснства при синхронизации или использованием Entitlements.
Значение Entitlements использует сервис Workflow или Role-Based Entitlements для назначения членства в группах.
Значение Synchronize использует политики для синхронизации списка членства в группах
None - не производить сихронизацию информации о членстве в группах
[править] Use CDOEXM for Exchange (yes/no)
Эта опция зависит от Exchange policy.
Почтовые ящики Exchange могут управляться вызовами в систему управления Microsoft Exchange вместо регулярной вспомогательной синхронизации. Когда включено, driver shim пренаправляет изменения в атрибут Active Directory homeMDB и вызовы в CDOEXM подсистемы (Collaboration Data Objects для Exchange Management).
Значение, выбранное в этом пунтке, записывается в конфигурацию driver shim.
При выборе значения Yes будет происходить синхронизация почтовых ящиков Exchange.
Значение No отключит эту синхронизацию.
[править] Allow CDOEXM Exchange mailbox move (yes/no)
Эта опция зависит от Exchange policy.
При включении этой опции, driver shim прерывает удаление для атрибута Active Directory homeMDB и создает вызов в CDOEXM на удаление почтового ящика.
Yes допускает удаление почтового ящика Exchange.
No не допускает удаление почтового ящика Exchange.
[править] Default Exchange MDB
Эта опция появляетс при выборе Implement in policy в Exchange policy. Здесь необходимо ввести дефолтную Exchange Message Database (MDB). Например:
[CN=Mailbox Store (CONTROLLER),CN=First Storage Group,CN=InformationStore,CN=CONTROLLER,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Domain,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=com]
Драйвер может быть скорректирован для управления дополнительной MDBs после того, как импорт будет завершен.
[править] When account entitlement revoked
Эта опция зависит от Exchange policy.
Она позволяет выбирать, что необходимо сделать при удалении учетной записи пользователя при помощи Entitlements.
Disable Account - отключить аккуант.
Delete Account - удалить аккуант.
[править] Name mapping policy selection
Драйвер связывает атрибут Identity Vault Full Name c атрибутом object name в Active Directory и связывает Active Directory Pre-windows 2000 logon name с именем пользователя Identity Vault. Вы можете принять полный набор политик или вручную их настроить. Если политика не удовлетворяет Вашим потребностям, Вы можете модифицировать её, редактируя политики NameMap в Subscriber канале и политики Command Transformation Publisher канала после импорта конфигурации драйвера.
Accept - использование полного набора политик.
Manual - использование части политик.
[править] Full Name Mapping
Эта опция появляется при выборе Manual в Name mapping policy selection
Yes разрешает драйверу синхронизировать атрибут Identity Vault Full Name с атрибутами Active Directory object name и display name.
No запрещает драйверу синхронизировать атрибут Identity Vault Full Name с атрибутами Active Directory object name и display name.
Эта политика полезна при создании пользователя в Active Directory при использовании Microsoft Management Console Users и Computers оснастки.
[править] Logon Name Mapping
Эта опция появляется при выборе Manual в Name mapping policy selection
Yes разрешает драйверу синхронизировать объектное имя Identity Vault с Active Directory Pre-Windows 2000 Logon Name (а также узнанное как NT Logon Name и sAMAccountName).
No Запрещает драйверу синхронизировать объектное имя Identity Vault с Active Directory Pre-Windows 2000 Logon Name.
[править] Import will proceed to Active Directory logon name policy selections
Эта опция появляется при выборе Manual в Name mapping policy selection
OK
[править] User Principal Name Mapping
Эта опция предоставляет выбор метода управления атрибутом Active Directory Windows 2000 Logon Name (также известное как userPrincipalName). userPrincipalName приобретает форму адреса эл.почты, как в usere@domain.com. Хотя driver shim может установить любую величину userPrincipalName, но она не будет полезной при выборе logon name если домен сконфигурирован на поддерку доменного имени в logon name. (Although the shim can place any value into userPrincipalName, it is not useful as a logon name unless the domain is configured to accept the domain name used with the name.)
Follow Active Directory e-mail address установит userPrincipalName в величину атрибута почты Active Directory. Этот выбор полезен в том случае, если Вы хотите, чтобы адрес эл.почты пользователя был использованн для аутентификации и Active Directory являлась авторитативной для адресов эл.почты.
Follow Identity Vault e-mail addressустановит userPrincipalName в величину атрибута почты Identity Vault. Этот выбор полезен в том случае, если Вы хотите, чтобы адрес эл.почты пользователя был использованн для аутентификации и Identity Vault являлась авторитативной для адресов эл.почты.
None Это значение имеет смысл, если Вы не хотите управлять userPrincipalName или хотите настроить Вашу собственную политику.
[править] Дополнительная информация
- раздел Configuration Parameters на сайте novell.com
[править] Дополнительная информация о Novell Identity Manager на Xgu.ru
- Пособие по инсталляции eDirectory, iManager, Identity Manager, RBS и DirXML драйвера для связи с Active Directory, User Application, Identity Designer (без скриншотов)
- Установка и настройка Novell eDirectory, iManager, Identity Manager, RBS и DirXML драйвера для связи с Active Directory
- Подготовка контроллера домена Active Directory для связи с Identity Manager
- Настройка совместной работы Lotus Notes и eDirectory
- Установка и настройка User Application
- Настройка совместной работы MS SQL и eDirectory
Драйвер Identity Manager для синхронизации с Acrive Directory:
- Описание параметров драйвера
- Определение некоторых параметров драйвера