Cette section vous fournit des informations sur les points suivants :
Le pilote DirXML pour LDAP peut être installé en même temps que d'autres pilotes DirXML au cours de l'installation du moteur DirXML. Reportez-vous à la section Installation dans le Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration Novell Nsure Identity Manager 2).
Comme l'expliquent les sections suivantes, vous pouvez également installer le pilote séparément, une fois le moteur DirXML installé.
Installez le pilote DirXML pour LDAP sur un serveur équipé de Windows 2003 ou de Windows 2000 avec Support Pack 2.
Lancez le programme d'installation à partir du CD d'Identity Manager 2.0 ou de l'image de téléchargement.
Si le programme d'installation ne s'exécute pas automatiquement, vous pouvez lancer \nt\install.exe.
Dans la boîte de dialogue Bienvenue, cliquez sur Suivant, puis acceptez l'accord de licence.
Dans la première boîte de dialogue Présentation DirXML, passez en revue les informations, puis cliquez sur Suivant.
Cette boîte de dialogue vous fournit des informations sur les points suivants :
Dans la deuxième boîte de dialogue Présentation DirXML, passez en revue les informations, puis cliquez sur Suivant.
Cette boîte de dialogue vous fournit des informations sur les points suivants :
Dans la boîte de dialogue Sélectionnez les composants à installer, sélectionnez uniquement Serveur DirXML, puis cliquez sur Suivant.
Figure 3
Case à cocher Serveur DirXML
Dans la boîte de dialogue Sélectionner des pilotes pour l'installation du moteur, sélectionnez uniquement LDAP, puis cliquez sur Suivant.
Figure 4
Case à cocher LDAP
Vous ne pouvez pas désélectionner la case Schéma DirXML, qui est grisée. Par la suite, le programme d'installation prolongera le schéma pour activer le fonctionnement du pilote qui vient d'être installé.
Dans la boîte de dialogue Mise à niveau de DirXML, cliquez sur OK.
Dans la boîte de dialogue Extension du schéma, entrez un nom d'utilisateur et un mot de passe, puis cliquez sur Suivant.
Dans la boîte de dialogue Résumé, passez en revue les options sélectionnées, puis cliquez sur Terminer.
Dans la boîte de dialogue Installation terminée, cliquez sur Fermer.
Après l'installation, vous devez configurer le pilote comme indiqué à la section Installation du pilote.
Sur le serveur NetWare®, insérez le CD d'Identity Manager 2.0 et montez-le comme un volume.
Pour monter le CD, saisissez m cdrom.
(Conditionnel) Si l'utilitaire graphique n'est pas chargé, chargez-le en saisissant startx.
Dans l'utilitaire graphique, cliquez sur l'icône Novell, puis sur Installer.
Dans la boîte de dialogue Produits installés, cliquez sur Ajouter.
Dans la boîte de dialogue Chemin d'accès source, recherchez et sélectionnez le fichier product.ni.
Figure 5
Boîte de dialogue Chemin d'accès source
Dans la boîte de dialogue Bienvenue, cliquez sur Suivant, puis acceptez l'accord de licence.
Dans la boîte de dialogue Installation de DirXML, sélectionnez uniquement Serveur DirXML, puis cliquez sur Suivant.
Désélectionnez ce qui suit :
Dans la boîte de dialogue Sélectionner des pilotes pour l'installation du moteur, sélectionnez uniquement Texte délimité.
Désélectionnez ce qui suit :
Dans la boîte de dialogue Mise à niveau de DirXML, cliquez sur OK.
Dans cette boîte de dialogue, vous êtes invité à activer la licence du pilote dans un délai de 90 jours.
Dans la boîte de dialogue Extension du schéma, entrez un nom d'utilisateur et un mot de passe, puis cliquez sur Suivant.
Dans la boîte de dialogue Résumé, passez en revue les options sélectionnées, puis cliquez sur Terminer.
Cliquez sur Fermer.
Après l'installation, vous devez configurer le pilote comme indiqué à la section Installation du pilote.
Par défaut, le pilote DirXML pour LDAP est installé lorsque vous installez le moteur DirXML. Si le pilote n'a toujours pas été installé à ce stade, cette section peut vous aider à l'installer.
Au fur et à mesure que vous avancez dans le programme d'installation, vous pouvez revenir à une section précédente (écran) en saisissant previous.
En mode terminal, connectez-vous en tant qu'utilisateur racine (root).
Insérez le CD d'Identity Manager 2.0 et montez-le.
En règle générale, le CD est monté automatiquement. Vous pouvez monter le CD manuellement. Par exemple, pour SUSE®, saisissez mount /media/cdrom.
Accédez au répertoire " setup ".
Plate-forme | Chemin |
---|---|
Red Hat |
/mnt/cdrom/linux/setup/ |
SUSE |
/media/cdrom/linux/setup/ |
Solaris |
/cdrom/solaris/nsure_idm_2/setup/ |
AIX |
/media/cdrom/aix/setup/ |
Figure 6
Chemin Linux vers le programme d'installation
Lancez le programme d'installation.
Par exemple, pour SUSE, exécutez ./dirxml_linux.bin.
Dans la section Introduction, appuyez sur la touche Entrée.
Appuyez sur la touche Entrée jusqu'à ce que vous atteignez l'invite Do You Accept the Terms of This License Agreement (Acceptez-vous les termes de cet accord de licence), saisissez y pour accepter la licence, puis appuyez à nouveau sur la touche Entrée.
Figure 7
Invite d'acceptation de la licence
Dans la section Choose Install Set (Sélectionnez les paramètres d'installation), sélectionnez l'option Customize (Personnaliser).
Saisissez 4, puis appuyez sur la touche Entrée.
Figure 8
Invite de sélection de l'option Customize (Personnaliser)
Dans la section Choose Product Features (Choisissez les fonctions du produit), désélectionnez toutes les fonctionnalités sauf LDAP, puis appuyez sur la touche Entrée.
Pour désélectionner une fonctionnalité, saisissez son numéro. Saisissez une virgule entre les fonctionnalités que vous désélectionnez.
Figure 9
Options de la section Choose Product Features (Choisissez les fonctions du produit)
Dans la section Pre-Installation Summary (Résumé avant installation), revoyez les options.
Figure 10
Section Résumé avant installation
Pour revenir à une section précédente, saisissez previous, puis appuyez sur la touche Entrée.
Pour continuer, appuyez sur la touche Entrée.
Une fois l'installation terminée, quittez-la en appuyant sur la touche Entrée.
Après l'installation, vous devez configurer le pilote comme indiqué à la section Installation du pilote.
Aucune tâche d'installation n'est nécessaire si vous mettez à niveau un pilote existant.
Si vous utilisez le pilote LDAP pour la première fois, vous devez effectuer les tâches de configuration décrites dans les sections suivantes :
Si vous utilisez le pilote uniquement pour synchroniser des données depuis eDirectory vers le serveur LDAP (via un canal Abonné), la plupart des serveurs et applications LDAP fonctionnent sans configuration supplémentaire.
Si, en revanche, vous souhaitez synchroniser des données de eDirectory après que des entrées du serveur LDAP ont été modifiées (via un canal Éditeur), vous devez effectuer au moins deux tâches de configuration sur le serveur LDAP avant de pouvoir exécuter le pilote.
IMPORTANT: si le serveur LDAP n'a pas de mécanisme de journal des modifications, envisagez d'utiliser la méthode de recherche LDAP. Sinon, le pilote ne peut pas avoir de canal Éditeur pour ce serveur.
Lorsque vous utilisez la méthode de publication de journal des modifications, le pilote tente d'éviter les problèmes de retour en boucle (un événement qui se produit sur le canal Abonné est renvoyé vers le moteur DirXML sur le canal Éditeur). Toutefois, la méthode de recherche LDAP repose sur le moteur DirXML pour éviter le retour en boucle.
Avec la méthode de journal des modifications, pour que le pilote empêche le retour en boucle, vous pouvez rechercher dans le journal l'utilisateur qui a effectué la modification. Si l'utilisateur qui a effectué la modification est le même que celui utilisé par le pilote pour son authentification, l'objet Éditeur suppose que la modification a été effectuée par le canal Abonné du pilote.
NOTE: si vous utilisez Critical Path InJoin Server, la mise en oeuvre du journal des modifications sur ce serveur est quelque peu limitée ; en effet, le DN de l'objet à l'origine de la modification n'est pas fourni. Le DN de l'objet à l'origine de la création/modification ne peut donc pas être utilisé pour déterminer si la modification provient ou non d'eDirectory.
Dans ce cas, toutes les modifications relevées dans le journal des modifications sont envoyées par le canal Éditeur au moteur DirXML, lequel rejette les modifications inutiles ou répétitives.
Pour empêcher que le canal Éditeur rejette des modifications justifiées, vérifiez que l'objet Utilisateur utilisé par le pilote pour son authentification n'est pas utilisé à d'autres fins.
Supposons par exemple que vous utilisez Netscape Directory Server et que vous avez configuré le pilote pour qu'il utilise le compte administrateur CN=Administrateur d'annuaire. Si vous souhaitez modifier manuellement Netscape Directory Server puis synchroniser cette modification, vous ne pouvez pas vous loguer pour effectuer la modification en utilisant le compte administrateur CN=Administrateur d'annuaire. Vous devez utiliser un autre compte.
Pour éviter ce problème :
Créez un compte utilisateur destiné à être utilisé exclusivement par le pilote.
Assignez à ce compte utilisateur les droits nécessaires pour accéder au journal des modifications et pour procéder aux modifications que vous souhaitez permettre au pilote d'effectuer.
Par exemple, pour la société VMP, créez pour le pilote un compte utilisateur que vous appelez uid=lpilote,ou=Directory Administrators,o=lansing.vmp.com. Assignez ensuite à ce compte utilisateur les droits appropriés en appliquant le LDIF suivant au serveur, au moyen de l'outil LDAPModify ou de l'utilitaire ICE (Import Conversion Export) de Novell.
# give the new user rights to read and search the changelog
dn: cn=changelog
changetype: modify
add: aci
aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (compare,read,search) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )
-
# give the new user rights to change anything in the o=lansing.vmp.com container
dn: o=lansing.vmp.com
changetype: modify
add: aci
aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (all) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )
-
Le journal des modifications représente la partie du serveur LDAP qui permet au pilote de reconnaître les modifications devant être acheminées de l'annuaire LDAP vers eDirectory via le canal Éditeur. Les annuaires LDAP pris en charge par ce pilote prennent en charge les fonctions de création de journal des modifications.
Pour Critical Path InJoin et Oracle Internet Directory, le journal des modifications est activé par défaut. Cela signifie qu'aucune procédure supplémentaire n'est requise pour l'activer, à moins qu'il n'ait préalablement été désactivé.
Pour IBM SecureWay, Netscape Directory Server et iPlanet Directory Server, le journal des modifications doit être activé après installation. Pour savoir comment activer le journal des modifications, reportez-vous à la documentation de votre annuaire LDAP.
HINT: dans le cas du journal des modifications de iPlanet, vous devez activer le plug-in " Retro Changelog ".
Importez la configuration du pilote LDAP en suivant les instructions d'importation des pilotes de la section Création et configuration d'un pilote.
Pendant l'importation, fournissez les informations de configuration du pilote suivantes.
Champ | Description |
---|---|
Nom du pilote |
Nom de l'objet eDirectory à assigner à ce pilote, ou pilote dont vous voulez mettre à jour la configuration. |
Type de placement |
Avec l'option de placement simple, les nouveaux objets Utilisateur créés dans l'annuaire LDAP sont placés dans le conteneur eDirectory que vous spécifiez lorsque vous importez la configuration du pilote. L'objet Utilisateur est nommé avec la valeur cn. L'option de placement En miroir permet de placer les nouveaux objets Utilisateur créés dans l'annuaire LDAP dans le conteneur eDirectory mis en miroir avec le conteneur LDAP des objets. |
Conteneur eDirectory |
Conteneur de eDirectory dans lequel les utilisateurs doivent être créés. Si ce conteneur n'existe pas, vous devez le créer avant de démarrer le pilote. Dans le cas de la configuration LDAPMirrorSample.xml, cet annuaire constitue le point de départ de la règle de placement du pilote. Les conteneurs subordonnés doivent porter le même nom que les conteneurs subordonnés du conteneur LDAP en miroir. Pour la configuration simple, ce conteneur héberge tous les objets Utilisateur. |
Conteneur LDAP |
Conteneur de l'annuaire LDAP dans lequel les utilisateurs doivent être créés. Si ce conteneur n'existe pas, vous devez le créer avant de démarrer le pilote. Dans le cas de la configuration Simple, cet annuaire constitue le point de départ de la règle de placement du pilote. Les conteneurs subordonnés doivent porter le même nom que les conteneurs subordonnés du conteneur eDirectory en miroir. Dans le cas de la configuration LDAPSimplePlacementSample.xml, ce conteneur est destiné à stocker tous les objets Utilisateur. |
Serveur LDAP |
Nom d'hôte ou adresse IP et port du serveur LDAP. |
DN Administrateur |
Saisissez le DN LDAP du compte administrateur créé pour le pilote LDAP. |
Mot de passe de l'administrateur |
Mot de passe du compte administrateur du pilote LDAP. Vous devez confirmer le mot de passe en le saisissant de nouveau dans le champ suivant. Il s'agit du mot de passe requis pour l'utilisateur authentifié par défaut, c'est-à-dire l'administrateur d'annuaire. Si le pilote LDAP utilise l'administrateur d'annuaire exclusivement, l'utilisateur authentifié par défaut fonctionne également. En revanche, si cet utilisateur est utilisé à d'autres fins, il est recommandé de modifier la valeur par défaut une fois que le pilote s'exécute. Reportez-vous à Création d'un objet Utilisateur LDAP avec des droits d'authentification. |
Configurer le flux de données |
|
Activer les droits basés sur le rôle |
Choisissez Oui ou Non. Comme il s'agit d'une décision prise lors de la conception, vous devez comprendre les droits basés sur les rôles avant de choisir de l'utiliser. Pour plus d'informations sur les droits basés sur les rôles, reportez-vous à la section Using Role-Based Entitlements (Utilisation des droits basés sur les rôles) dans le Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration Novell Nsure Identity Manager 2). |
Installer le pilote comme Distant/Local |
Configurez le pilote pour l'utiliser avec le service de chargeur distant en sélectionnant l'option Distant, ou choisissez Local pour configurer une utilisation locale. Si vous sélectionnez Local, vous pouvez ignorer les paramètres suivants. |
Nom d'hôte et port distants |
Entrez le nom d'hôte ou l'adresse IP et le numéro de port de l'endroit où le service du chargeur distant est installé et s'exécute pour ce pilote. Le port par défaut est 8090. |
Mot de passe du pilote |
Le chargeur distant utilise le mot de passe de l'objet Pilote pour s'authentifier auprès du serveur DirXML. Ce mot de passe doit être identique à celui défini sur le chargeur distant DirXML. |
Mot de passe à distance |
Ce mot de passe est utilisé uniquement lors de la configuration du chargeur distant. Il permet au chargeur distant de s'authentifier auprès du moteur DirXML. Le mot de passe du chargeur distant permet de contrôler l'accès à l'instance du chargeur distant. Ce mot de passe doit être identique à celui défini sur le chargeur distant DirXML. |
Si, au cours de la configuration, vous avez modifié les emplacements de données par défaut, vérifiez que les nouveaux emplacements existent avant de démarrer le pilote.
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Localisez le pilote dans son ensemble de pilotes.
Cliquez sur l'indicateur d'état du pilote dans l'angle supérieur droit de l'icône du pilote, puis sur Démarrer le pilote.
Si un journal des modifications est disponible, le pilote traite toutes les modifications contenues dans ce journal. Pour forcer la synchronisation initiale, reportez-vous à Migration et resynchronisation des données.
Identity Manager synchronise les données à mesure qu'elles sont modifiées. Si vous souhaitez synchroniser immédiatement toutes les données, vous avez le choix entre les options suivantes :
Migrer les données depuis eDirectory : permet de sélectionner les conteneurs ou les objets à migrer depuis eDirectory vers un serveur LDAP. Lorsque vous migrez un objet, le moteur DirXML applique à l'objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Abonné.
NOTE: lorsque vous migrez des données depuis eDirectory vers l'annuaire LDAP, il se peut que vous deviez changer les paramètres de votre serveur LDAP pour permettre la migration d'un grand nombre d'objets. Reportez-vous à Migration des utilisateurs vers eDirectory.
Migrer les données vers eDirectory : permet de définir les critères utilisés par Identity Manager pour migrer des objets depuis un serveur LDAP vers Novell eDirectory. Lorsque vous migrez un objet, le moteur DirXML applique à l'objet toutes les règles de concordance, de placement et de création, ainsi que le filtre Éditeur. Les objets sont migrés dans eDirectory dans l'ordre spécifié dans la liste des classes.
Synchroniser : Identity Manager examine le filtre de la classe Abonné et traite tous les objets de ces classes. Les objets associés sont fusionnés. Les objets non associés sont traités en tant qu'événements Ajout.
Pour utiliser l'une de ces options :
Dans iManager, sélectionnez Gestion DirXML > Présentation.
Recherchez l'ensemble de pilotes qui contient le pilote DirXML pour LDAP, puis double-cliquez sur l'icône pilote.
Cliquez sur le bouton de migration approprié.
Activez le pilote dans un délai de 90 jours à compter de l'installation. Sinon, le pilote ne fonctionnera pas.
Pour plus d'informations sur l'activation, reportez-vous à la section Activating Novell Identity Manager Products (Activation des produits Novell Identity Manager) dans le Novell Nsure Identity Manager 2 Administration Guide (Guide d'administration Novell Nsure Identity Manager 2).