Il convient d'être particulièrement prudent lors de la fusion d'arborescences eDirectory si l'une d'elles au moins comporte un conteneur Sécurité. Vérifiez qu'il s'agit bien d'une opération que vous souhaitez vraiment réaliser. Cette procédure peut en effet être longue et fastidieuse.
IMPORTANT: les instructions suivantes concernent des arborescences avec Novell Certificate ServerTM versions 2.21 et antérieures, Novell Single Sign-on version 2.x et NMAS 2.x.
Pour fusionner des arborescences avec plusieurs conteneurs Sécurité :
Dans iManager, identifiez les arborescences à fusionner.
Identifiez les arborescences source et cible.
Tenez compte des remarques suivantes concernant la sécurité pour les arborescences source et cible :
S'il n'existe pas de conteneur appelé Sécurité à la racine des arborescences source et cible, ou s'il en existe un dans une seule des deux arborescences, aucune autre action n'est nécessaire. Sinon, poursuivez la procédure.
Cette section comprend les informations suivantes :
Si Novell Certificate Server, anciennement appelé PKIS (Public Key Infrastructure Services), est installé sur un ou plusieurs serveurs de l'arborescence source, procédez comme suit.
NOTE: selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. Si les objets et éléments cités dans une étape donnée ne sont pas présents dans l'arborescence source, vous pouvez ignorer l'étape.
Tous les certificats de racine approuvée dans l'arborescence source doivent être installés dans l'arborescence cible.
Les certificats de racine approuvée sont stockés dans des objets Racine approuvée, eux-mêmes placés dans des conteneurs Racine approuvée. Les conteneurs Racine approuvée peuvent être créés à n'importe quel endroit de l'arborescence. Cependant, seuls les certificats Racine approuvée se trouvant dans les conteneurs Racine approuvée du conteneur Sécurité doivent être déplacés manuellement depuis l'arborescence source vers l'arborescence cible.
Installez les certificats de racine approuvée dans l'arborescence cible.
Sélectionnez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence source.
Créez un conteneur Racine approuvée dans le conteneur Sécurité de l'arborescence cible en conservant le nom exact utilisé dans l'arborescence source (étape 2a).
Dans l'arborescence source, ouvrez un objet Racine approuvée dans le conteneur du même nom sélectionné et exportez le certificat.
IMPORTANT: notez l'emplacement et le nom du fichier utilisé ; vous en aurez besoin à la prochaine étape.
Dans l'arborescence cible, créez un objet Racine approuvée dans le conteneur créé à l'étape 2b. Indiquez le même nom que pour l'arborescence source et, lorsque vous êtes invité à préciser le certificat, spécifiez le fichier créé à l'étape 2c.
Supprimez l'objet Racine approuvée de l'arborescence source.
Répétez la procédure de l'étape 2c à l'étape 2e jusqu'à ce que tous les objets Racine approuvée du conteneur Racine approuvée sélectionné soient installés dans l'arborescence cible.
Supprimez le conteneur Racine approuvée de l'arborescence source.
Répétez la procédure de l'étape 2a à l'étape 2f jusqu'à ce que tous les conteneurs Racine approuvée soient supprimés de l'arborescence source.
Supprimez l'autorité de certification organisationnelle dans l'arborescence source.
L'objet Autorité de certification organisationnelle se trouve dans le conteneur Sécurité.
IMPORTANT: après cette étape, tous les certificats signés par l'autorité de certification organisationnelle de l'arborescence source sont inutilisables. C'est notamment le cas des certificats utilisateur et de serveur signés par l'autorité de certification organisationnelle de l'arborescence source.
Supprimez tous les objets Matériel clé (KMO - Key Material Object) de l'arborescence source possédant un certificat signé par l'autorité de certification organisationnelle de l'arborescence source.
Les objets Matériel clé de l'arborescence source possédant des certificats signés par d'autres autorités de certification restent valides et n'ont pas à être supprimés.
Si vous n'êtes pas sûr de l'identité de l'autorité de certification apposant sa signature pour un objet Matériel clé, consultez la section Certificat de racine approuvée de l'onglet Certificats sur la page de propriétés de l'objet Matériel clé.
Supprimez tous les certificats utilisateur de l'arborescence source signés par l'autorité de certification organisationnelle de cette arborescence.
Si les utilisateurs de l'arborescence source ont déjà exporté leurs certificats et clés privées, ces derniers restent utilisables. Les clés privées et les certificats restant dans eDirectory ne peuvent par contre plus être utilisés une fois l'étape 3 effectuée.
Pour chaque utilisateur disposant de certificats, ouvrez les propriétés de l'objet Utilisateur. La liste de tous les certificats pour l'utilisateur s'affiche dans la section Certificats de l'onglet Sécurité. Tous les certificats émis par l'autorité de certification organisationnelle doivent être supprimés.
Les certificats utilisateur ne seront présents dans l'arborescence source que si Novell Certificate Server version 2.0 ou ultérieure est installé sur le serveur qui héberge l'autorité de certification organisationnelle de cette arborescence.
Si Novell Single Sign-on est installé sur un ou plusieurs serveurs de l'arborescence source, vous devez supprimer tous les secrets Novell Single Sign-on pour les utilisateurs de l'arborescence source.
Pour chaque utilisateur qui emploie Novell Single Sign-on dans l'arborescence source, ouvrez les propriétés de l'objet Utilisateur. Tous les secrets de l'utilisateur sont listés dans la section SecretStore de l'onglet Sécurité. Supprimez tous les secrets de la liste.
NOTE: selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
Si NMAS est installé sur un ou plusieurs serveurs de l'arborescence source, procédez comme suit.
NOTE: selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
Dans l'arborescence cible, installez toutes les méthodes de login NMAS qui se trouvaient dans l'arborescence source et pas dans l'arborescence cible.
Pour vous assurer que tous les composants de login client et serveur nécessaires sont correctement installés dans l'arborescence cible, nous vous recommandons d'installer les nouvelles méthodes de login en utilisant des sources Novell d'origine ou des sources proposées par le fournisseur.
Bien que les méthodes puissent être réinstallées à partir des fichiers serveur existants, il est généralement plus simple et plus fiable de procéder à une installation à partir de paquetages fournis par Novell ou par le fournisseur.
Pour garantir que les séquences de login précédemment établies dans l'arborescence source sont disponibles dans l'arborescence cible, migrez les séquences de login souhaitées.
Dans ConsoleOne, sélectionnez le conteneur Sécurité de l'arborescence source.
Cliquez avec le bouton droit sur l'objet Règle de login, puis sélectionnez Propriétés.
Pour chaque séquence de login figurant dans la liste déroulante Séquences de login définies, notez les méthodes de login utilisées (affichées dans le volet droit).
Sélectionnez le conteneur Sécurité dans l'arborescence cible et répliquez les séquences de login en utilisant les mêmes méthodes de login qu'à l'étape 2c.
Cliquez sur OK lorsque vous avez terminé.
Supprimez les attributs de sécurité de login NMAS dans l'arborescence source.
Dans le conteneur Sécurité de l'arborescence source, supprimez l'objet Règle de login.
Dans le conteneur Méthodes de login autorisées de l'arborescence source, supprimez toutes les méthodes de login.
Supprimez le conteneur Méthodes de login autorisées de l'arborescence source.
Dans le conteneur Méthodes de post-login autorisées de l'arborescence source, supprimez toutes les méthodes de login.
Supprimez ensuite le conteneur Méthodes de post-login autorisées de l'arborescence source.
Si Novell Certificate Server version 2.x ou ultérieure, Novell Single Sign-on, NMAS, NetWare version 5.1 ou ultérieure ou eDirectory version 8.5 ou ultérieure est installé sur un ou plusieurs serveurs de l'arborescence source, l'infrastructure du domaine de sécurité Novell (SDI - Security Domain Infrastructure) est installée. Dans ce cas, procédez comme suit.
NOTE: selon l'utilisation du produit, les objets et éléments auxquels il est fait référence peuvent ne pas être présents. S'ils ne se trouvent pas dans l'arborescence source, vous pouvez ignorer cette étape.
Supprimez l'objet W0 et le conteneur KAP de l'arborescence source.
Le conteneur KAP se trouve dans le conteneur Sécurité. L'objet W0 se trouve dans le conteneur KAP.
Sur tous les serveurs de l'arborescence source, effacez les clés SDI en supprimant le fichier sys:\system\nici\nicisdi.key.
IMPORTANT: veillez à supprimer ce fichier sur tous les serveurs de l'arborescence source.
L'utilitaire ndsmerge permet de fusionner les arborescences eDirectory. Pour plus d'informations, reportez-vous au Fusion d'arborescences Novell eDirectory et à l'Commandes Novell eDirectory pour Linux et UNIX et syntaxe correspondante.
Cette section comprend les informations suivantes :
Si l'objet W0 existait dans l'arborescence cible avant la fusion, les clés SDI utilisées par les serveurs résidant précédemment dans l'arborescence cible doivent être installées sur les serveurs qui résidaient précédemment dans l'arborescence source.
La solution la plus simple consiste à installer Novell Certificate Server version 2.52 ou ultérieure sur tous les serveurs précédemment installés dans l'arborescence source, qui possédaient des clés SDI (fichier sys:\system\nici\nicisdi.key). Cette opération doit être réalisée même si Novell Certificate Server est déjà installé sur le serveur.
Si l'objet W0 n'existait pas dans l'arborescence cible avant la fusion mais existait dans l'arborescence source, la SDI doit être réinstallée dans l'arborescence obtenue.
La solution la plus simple consiste à installer Novell Certificate Server version 2.52 ou ultérieure sur les serveurs de la nouvelle arborescence. Novell Certificate Server doit être installé sur tous les serveurs se trouvant précédemment dans l'arborescence source, qui hébergeaient les clés SDI (fichier sys:\system\nici\nicisdi.key). Il peut aussi être installé sur d'autres serveurs de la nouvelle arborescence.
Pour plus d'informations sur l'installation de Novell Certificate Server, consultez le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Si vous utilisez Novell Certificate Server, après la fusion des arborescences, émettez de nouveau, si nécessaire, des certificats pour les serveurs et les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Nous vous recommandons d'installer Novell Certificate Server version 2.52 ou ultérieure sur tous les serveurs qui comportent une réplique de la partition contenant un objet Utilisateur.
Pour que vous puissiez émettre un certificat pour un serveur, Novell Certificate Server version 2.52 ou ultérieure doit être installé.
Novell Certificate Server version 2.52 ou ultérieure doit être installé sur le serveur qui héberge l'autorité de certification organisationnelle. Pour plus d'informations, consultez le manuel Novell Certificate Server Administration Guide (Guide d'administration du serveur de certificats Novell).
Si vous utilisez Novell Single Sign-on, après la fusion des arborescences, recréez si nécessaire des secrets SecretStore pour les utilisateurs qui se trouvaient auparavant dans l'arborescence source.
Si vous utilisez NMAS, après la fusion des arborescences, réinscrivez si nécessaire les utilisateurs NMAS qui se trouvaient auparavant dans l'arborescence source.
Pour plus d'informations, consultez le manuel Novell Modular Authentication Service Administration Guide (Guide d'administration de Novell Modular Authentication Service).