Il convient d'être particulièrement prudent lors de la fusion d'arborescences eDirectory lorsque l'une au moins comporte un conteneur Sécurité. Vérifiez qu'il s'agit bien d'une opération que vous souhaitez vraiment réaliser. Cette procédure peut en effet être longue et fastidieuse.
IMPORTANT : les instructions suivantes concernent des arborescences avec le serveur de certificats NovellTM versions 2.21 et antérieures, Novell Single Sign-on version 2.x et NMAS 2.x.
Pour fusionner des arborescences avec plusieurs conteneurs Sécurité :
Dans iManager, identifiez les arborescences à fusionner.
Identifiez les arborescences source et cible.
Tenez compte des remarques suivantes concernant la sécurité pour les arborescences source et cible :
S'il n'existe pas de conteneur appelé Sécurité à la racine des arborescences source et cible, ou s'il en existe un dans une seule des deux arborescences, aucune autre action n'est nécessaire. Sinon, poursuivez la procédure.
Cette section comprend les informations suivantes :
Si le serveur de certificats Novell, anciennement appelé PKIS (Public Key Infrastructure Services), est installé sur un ou plusieurs serveurs de l'arborescence source, procédez comme suit.
REMARQUE : selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. Si les objets et éléments cités dans une étape donnée ne sont pas présents dans l'arborescence source, vous pouvez la passer.
Tous les certificats de racine approuvée de l'arborescence source doivent être installés dans l'arborescence cible.
Les certificats de racine approuvée sont stockés dans des objets Racine approuvée, eux-mêmes placés dans des conteneurs Racine approuvée. Les conteneurs Racine approuvée peuvent être créés à n'importe quel endroit de l'arborescence. Cependant, seuls les certificats Racine approuvée se trouvant dans les conteneurs Racine approuvée du conteneur Sécurité doivent être déplacés manuellement depuis l'arborescence source vers l'arborescence cible.
Installez les certificats de racine approuvée dans l'arborescence cible.
Sélectionnez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence source.
Créez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence cible en conservant le nom exact utilisé dans l'arborescence source (étape 2a).
Dans l'arborescence source, ouvrez un objet Racine approuvée dans le conteneur du même nom sélectionné et exportez le certificat.
IMPORTANT : notez l'emplacement et le nom du fichier utilisé ; vous en aurez besoin dans la prochaine étape.
dans l'arborescence cible, créez un objet Racine approuvée dans le conteneur créé à l'étape 2b. Indiquez le même nom que pour l'arborescence source et, lorsque vous êtes invité à préciser le certificat, spécifiez le fichier créé à l'étape 2c.
Supprimez l'objet Racine approuvée de l'arborescence source.
Répétez la procédure de l'étape 2c à l'étape 2e jusqu'à ce que tous les objets Racine approuvée du conteneur Racine approuvée sélectionné soient installés dans l'arborescence cible.
Supprimez le conteneur Racine approuvée de l'arborescence source.
Répétez la procédure de l'étape 2a à l'étape 2f jusqu'à ce que tous les conteneurs Racine approuvée soient supprimés de l'arborescence source.
Supprimez la CA organisationnelle dans l'arborescence source.
L'objet CA organisationnelle se trouve dans le conteneur Sécurité.
IMPORTANT : après cette étape, tous les certificats signés par la CA organisationnelle de l'arborescence source sont inutilisables. Il s'agit notamment des certificats serveur et des certificats utilisateur signés par la CA organisationnelle de l'arborescence source.
Supprimez tous les objets Matériel clé (KMO) de l'arborescence source possédant un certificat signé par la CA de l'arborescence source.
Les objets Matériel clé de l'arborescence source possédant des certificats signés par d'autres autorités de certification restent valides et n'ont pas à être supprimés.
Si vous n'êtes pas sûr de l'identité de l'autorité de certification signataire d'un objet Matériel clé, consultez la section Certificat Racine approuvée de l'onglet Certificats sur la page de propriétés de l'objet Matériel clé.
Supprimez tous les certificats utilisateur de l'arborescence source signés par l'autorité de certification organisationnelle de cette arborescence.
Si les utilisateurs de l'arborescence source ont déjà exporté leurs certificats et clés privées, ces derniers restent utilisables. Les clés privées et les certificats restant dans eDirectory ne peuvent par contre plus être utilisés après l'étape 3.
Pour chaque utilisateur disposant de certificats, ouvrez les propriétés de l'objet Utilisateur. La liste de tous les certificats pour l'utilisateur s'affiche dans la section Certificats de l'onglet Sécurité. Tous les certificats émis par la CA organisationnelle doivent être supprimés.
Les certificats utilisateur ne seront présents dans l'arborescence source que si le serveur de certificats Novell version 2.0 ou ultérieure est installé sur le serveur qui héberge l'autorité de certification organisationnelle de cette arborescence.
Si Novell Single Sign-on est installé sur un ou plusieurs serveurs de l'arborescence source, vous devez supprimer tous les secrets Novell Single Sign-on pour les utilisateurs de l'arborescence source.
Pour chaque utilisateur qui emploie Novell Single Sign-on dans l'arborescence source, ouvrez les propriétés de l'objet Utilisateur. Tous les secrets de l'utilisateur sont listés dans la section SecretStore de l'onglet Sécurité. Supprimez tous les secrets de la liste.
REMARQUE : selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez passer cette étape.
Si NMAS est installé sur un des serveurs de l'arborescence source, procédez comme suit.
REMARQUE : selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez passer cette étape.
Dans l'arborescence cible, installez toutes les méthodes de login NMAS qui se trouvaient dans l'arborescence source et qui ne figurent pas dans l'arborescence cible.
Pour vous assurer que tous les composants de login client et serveur nécessaires sont correctement installés dans l'arborescence cible, nous vous recommandons d'installer les nouvelles méthodes de login en utilisant des sources Novell d'origine ou des sources proposées par le fournisseur.
Bien que les méthodes puissent être réinstallées à partir des fichiers de serveur existants, il est généralement plus simple et plus fiable de procéder à une installation à partir de progiciels fournis par Novell ou par le fournisseur.
Pour garantir que les séquences de login précédemment établies dans l'arborescence source sont disponibles dans l'arborescence cible, migrez les séquences de login souhaitées.
Sous ConsoleOne, sélectionnez le conteneur Sécurité de l'arborescence source.
Cliquez avec le bouton droit de la souris sur l'objet Règle de login, puis sélectionnez Propriétés.
Pour chaque séquence de login figurant dans la liste déroulante Séquences de login définies, notez les méthodes de login utilisées (affichées dans le volet de droite).
Sélectionnez le conteneur Sécurité dans l'arborescence cible et répliquez les séquences de login en utilisant les mêmes méthodes de login que dans l'étape 2c.
Cliquez sur OK lorsque vous avez terminé.
Supprimez les attributs de sécurité de login NMAS dans l'arborescence source.
Dans le conteneur Sécurité de l'arborescence source, supprimez l'objet Règle de login.
Dans le conteneur Méthodes de login autorisées de l'arborescence source, supprimez toutes les méthodes de login.
Supprimez le conteneur Méthodes de login autorisées de l'arborescence source.
Dans le conteneur Méthodes de post-login autorisées de l'arborescence source, supprimez toutes les méthodes de login.
Supprimez ensuite le conteneur Méthodes de post-login autorisées de l'arborescence source.
Si le serveur de certificats Novell version 2.x ou ultérieure, Novell Single Sign-on, NMAS, NetWare version 5.1 ou ultérieure ou eDirectory version 8.5 ou ultérieure est installé sur un ou plusieurs serveurs de l'arborescence source, l'infrastructure du domaine de sécurité (SDI) est installée. Si celle-ci est installée, procédez comme suit.
REMARQUE : selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez passer cette étape.
Supprimez l'objet W0 et le conteneur KAP de l'arborescence source.
Le conteneur KAP se trouve dans le conteneur Sécurité. L'objet W0 se trouve dans le conteneur KAP.
Sur tous les serveurs de l'arborescence source, effacez les clés SDI en supprimant le fichier sys:\system\nici\nicisdi.key.
IMPORTANT : veillez à supprimer ce fichier sur tous les serveurs de l'arborescence source.
Si un conteneur Sécurité existe dans l'arborescence source, supprimez-le avant de fusionner les arborescences.
L'utilitaire ndsmerge permet de fusionner les arborescences eDirectory. Pour plus d'informations, reportez-vous au Fusion d'arborescences Novell eDirectory et à l'Commandes Novell eDirectory pour UNIX et syntaxe correspondante.
Cette section comprend les informations suivantes :
Si l'objet W0 existait dans l'arborescence cible avant la fusion, les clés SDI utilisées par les serveurs résidant précédemment dans l'arborescence cible doivent être installées sur les serveurs résidant précédemment dans l'arborescence source.
La solution la plus simple consiste à installer le serveur de certificats Novell version 2.52 ou ultérieure sur tous les serveurs précédemment installés dans l'arborescence source et possédant des clés SDI (fichier sys:\system\nici\nicisdi.key). Cette opération doit être réalisée même si le serveur de certificats Novell est déjà installé sur le serveur.
Si l'objet W0 n'existait pas dans l'arborescence cible avant la fusion mais existait dans l'arborescence source, la SDI doit être réinstallée dans l'arborescence obtenue.
La solution la plus simple consiste à installer le serveur de certificats Novell version 2.52 ou ultérieure sur les serveurs de la nouvelle arborescence. Le serveur de certificats Novell doit être installé sur tous les serveurs se trouvant précédemment dans l'arborescence source et hébergeant les clés SDI (fichier sys:\system\nici\nicisdi.key). Il peut aussi être installé sur d'autres serveurs de la nouvelle arborescence.
Pour plus d'informations sur l'installation du serveur de certificats Novell, reportez-vous au manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Si vous utilisez le serveur de certificats Novell, après la fusion des arborescences, ré-émettez si nécessaire des certificats pour les serveurs et les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Nous vous recommandons d'installer le serveur de certificats Novell version 2,52 ou ultérieure sur tous les serveurs qui comportent une réplique de la partition contenant un objet Utilisateur.
Pour que vous puissiez émettre un certificat pour un serveur, le serveur de certificats Novell version 2,52 ou ultérieure doit être installé.
Le serveur de certificats Novell version 2,52 ou ultérieure doit être installé sur le serveur qui héberge l'autorité de certification organisationnelle. Pour plus d'informations, reportez-vous au manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Si vous utilisez Novell Single Sign-on, après la fusion des arborescences, recréez si nécessaire des secrets SecretStore pour les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Si vous utilisez NMAS, après la fusion des arborescences, réinscrivez si nécessaire les utilisateurs NMAS qui se trouvaient auparavant dans l'arborescence source.
Pour plus d'informations, reportez-vous au manuel Novell Modular Authentication Service Administration Guide (Guide d'administration de Novell Modular Authentication Service).