4.1 控制 LDAP 目錄到 Identity Vault 的資料流程

Figure 4-1 範例組態檔案中的設定

調整驅動程式的操作參數,可將驅動程式的行為調整成與網路環境一致。 例如,您發現預設的「發行者」通道輪詢間隔比同步化所需的時間短。 設定較長的間隔可以改善網路效能,並保持適當的同步化。

如果 LDAP 伺服器有變更記錄,建議您使用 changelog 發行方法。 如果沒有變更記錄,您可使用 LDAP 搜尋發行方法。 偏好的方法是 changelog 方法。

4.1.1 LDAP 驅動程式設定

Figure 4-2 LDAP 驅動程式設定

  1. 在 iManager 中,選取「Identity Manager」>「Identity Manager 概觀」,然後搜尋驅動程式集。

  2. 在驅動程式集中,按一下 LDAP 驅動程式圖示。

  3. 在驅動程式檢視中,再按一下 LDAP 驅動程式圖示。

  4. 捲動到「驅動程式參數」。

  5. 在「驅動程式設定」區段中,選取所需的選項。

    如需設定的相關資訊,請按一下「資訊」圖示

4.1.2 LDAP 訂閱者設定

Figure 4-3 LDAP 訂閱者設定

當輸入範例組態檔時,系統不會提示您提供此設定。 然而,您可以在輸入檔案後再變更設定。 在「訂閱者設定」區段中,選取所需的選項。

預設的設定值是「」。大部份 LDAP 伺服器支援使用二進位屬性選項,如 RFC 2251 的第 4.1.5.1 節中所定義者。

若不知此驅動程式所連接的 LDAP 伺服器是否支援二進位屬性選項,請選取「」。

4.1.3 LDAP 發行者設定 Changelog 和 LDAP 搜尋方法

Figure 4-4 LDAP 公用發行者設定

有些設定值可同時套用於 changelog 和 LDAP 搜尋發行方法。 有些設定值只能套用於 changelog 發行方法。 其他設定值則只能套用於 LDAP 搜尋發行方法。

輪詢間隔 (以秒為單位)

驅動程式檢查 LDAP 伺服器的變更記錄或 LDAP 搜尋方法的時間間隔。 當找到新的變更時,便將變更套用到 Identity Vault。

建議的輪詢間隔是 120 秒。

暫存檔目錄

將值設定到本地檔案系統 (即正在執行驅動程式的地方) 的目錄中,其中暫存狀態檔是可被寫入的。 如果您未指定路徑,驅動程式會使用預設的驅動程式路徑。

Table 4-1 暫存檔目錄

平台或環境

預設目錄

eDirectory

DIB 檔案目錄

遠端載入器

遠端載入器根目錄

這些檔案可協助下列事項:

  • 即使在驅動程式關閉時也可維護驅動程式一致性
  • 防止因資料搜尋範圍擴大而產生記憶體不足現象

活動訊號間隔 (以分鐘為單位)

若要開啟活動訊息,請輸入值。 若要關閉活動訊號,則將此欄位保留空白。

如需驅動程式活動訊號的相關資訊,請參閱《Novell Identity Manager 3.0 管理指南》中的「新增驅動程式活動訊號」。

4.1.4 LDAP 發行者設定 僅限 Changelog 方法

Figure 4-5 LDAP 發行者通道上的 Changelog 設定。

啟動時處理的 Changelog 項目

此參數指定啟動時處理哪些項目。

  • 全部: 「發行者」嘗試處理在變更記錄中找到的所有變更。 「發行者」會繼續處理,直到處理完所有變更為止。 它會根據輪詢率處理新變更。
  • 無: 當驅動程式開始執行時,「發行者」不會處理之前存在的項目。 它會根據輪詢率處理新變更。
  • 之前未處理: 此設定為預設值。 如果這是第一次執行驅動程式,它的行為會像「全部」的情況,處理所有新的變更。

    如果以前就執行過驅動程式,此設定會使得「發行者」只處理上次執行驅動程式後產生的新變更。 之後,它會根據輪詢率處理新變更。

使用 changelog 方法時,驅動程式會尋找批次大小以及「阻止迴路」設定。

Changelog 處理的最大批次大小

當「發行者」通道處理 LDAP 變更記錄的新項目時,「發行者」會要求此批次大小的項目。 如果項目數比這個變更記錄項目數還少,就會立即處理所有項目。 如果比這個項目數還多,就會以這個批次大小接續處理。

偏好的 LDAP ObjectClass 名稱

偏好的 LDAP ObjectClass 名稱」設定是選擇性的驅動程式參數,您可用它來指定「發行者」通道上偏好的物件類別。

Identity Manager 要求以單一物件類別來識別物件。 然而,有許多的 LDAP 伺服器和應用程式可以列出用於單一物件的多個物件類別。 在預設狀態下,當 Identity Manager Driver for LDAP 在 LDAP 伺服器或被新增、刪除或修改的應用程式上找到物件時,會將事件傳送到 Metadirectory 引擎,並藉由使用具有綱要定義中最多的承襲層級的物件類別來識別該事件。

例如,以 inetorgperson、organizationalperson、person 和 top 物件類別來識別 LDAP 中的使用者物件。 Inetorgperson 具有綱要中最多的承襲層級 (其承襲自 organizationalperson,而 organizationalperson 承襲自 person,person 則承襲自 top)。 在預設狀態下,驅動程式會使用 inetorgperson 做為向 Metadirectory 引擎報告的物件類別。

如果要變更驅動程式的預設行為,您可以新增名為 preferredObjectClasses 的選擇性驅動程式「發行者」參數。 此參數值可以是一個 LDAP 物件類別,或是以空格分隔的 LDAP 物件類別清單。

當出現此參數時,Identity Manager Driver for LDAP 會檢查出現於「發行者」通道上的每一個物件,查看物件內是否包含清單中列出的其中一個物件類別。 它會以其出現在 preferredObjectClasses 參數中的順序來尋找。 如果發現其中一個列出的物件類別與 LDAP 物件上的其中一個 objectclass 屬性值相符,會使用該物件類別做為向 Metadirectory 引擎報告的物件類別。 如果沒有相符的物件類别,則會為了報告主要的物件類別而尋求其預設行為。

阻止迴路

「阻止迴路」參數僅與 changelog 發行方法一起使用。 LDAP 搜尋方法不會阻止迴路,除了置入 Metadirectory 引擎的阻止迴路功能以外。

「發行者」通道的預設行為是要避免傳送「訂閱者」通道所做的變更。 「發行者」通道會去查詢 creatorsName 或 modifiersName 屬性的 LDAP 變更記錄,藉以偵測「訂閱者」通道的變更,查看進行變更的已驗證項目是否和驅動程式用來向 LDAP 伺服器驗證的項目是同一個。 如果是同一個項目,「發行者」通道會假設是驅動程式的「訂閱者」通道做了變更,所以不對變更進行同步化。

舉例來說,您可能沒有針對此驅動程式設定的「訂閱者」通道,卻想要使用和其他處理程序進行變更時所用的同一個 DN 和密碼。

如果您確定要讓這一類的迴路發生,請編輯驅動程式參數:

  1. 在 iManager 中,選取「Identity Manager」>「Identity Manager 概觀」。

  2. 在其驅動程式集中尋找驅動程式。

  3. 按一下驅動程式以開啟「驅動程式概觀」頁面,然後再按一下驅動程式以開啟「修改物件」頁面。

  4. 捲動到「發行者設定」區段,將「阻止迴路」設為「」。

  5. 按一下「確定」,按一下「套用」,然後重新啟動驅動程式,讓此參數開始運作。

4.1.5 LDAP 發行者設定 僅限 LDAP 搜尋方法

Figure 4-6 LDAP 發行者通道上的 LDAP 搜尋設定。

以往 LDAP 驅動程式只能藉由讀取變更記錄來偵測 LDAP 伺服器中的變更。 然而,有些伺服器不使用 changelog 機制,而事實上該機制不是 LDAP 標準的一部份。 其中,變更記錄並不存在,而 LDAP 驅動程式先前並無法將這些 LDAP 伺服器的相關資料發行到 Identity Vault。

然而,LDAP 搜尋發行方法並不需要變更記錄。 此方法會使用標準的 LDAP 搜尋方式,比對前一個搜尋間隔和下一個間隔的結果,藉以偵測變更。

您可以使用 LDAP 搜尋發行方法,做為傳統 changelog 發行方法的替代方法。 這些方法 Identity Manager Driver for LDAP 都支援。 然而,changelog 方法在效能上較具優勢,當有變更記錄可用時便優先使用此方法。

如果沒有變更記錄,則需設定下列參數:

搜尋基礎 DN

如果因無變更記錄可用而使用「發行者」通道時,必需的參數。 將參數設為容器的 LDAP 可辨識名稱 (DN),該容器即為輪詢搜尋應開始之處 (例如 ou=people,o=company)。

若要使用變更記錄,就讓此參數留空白。

搜尋範圍 (1-Subtree 子網路樹、2-One Level 一層、3-Base 基礎)

指出輪詢搜尋的深度。 此參數預設為搜尋「搜尋基礎 DN」指向的整個子網路樹。

沒有變更記錄可用時,設定此參數。

類別處理順序

當參照屬性需納入考量時,「發行者」通道用來調整某些事件之順序的選擇性參數。 參數值是來自 LDAP 伺服器,並以空格分隔的類別名稱清單。 例如,確定在新增至群組之前先建立新使用者,以及確定 interorgperson 優先於 groupofuniquenames。

Identity Manager Driver for LDAP 定義特定的類別名稱 “others”,表示除了明確列出類別以外的所有類別。

此參數的預設值是 “other groupofuniquenames”。

沒有變更記錄可用時,使用此參數。

第一次啟動時要同步化的搜尋結果

第一次啟動 LDAP 驅動程式時,該驅動程式會執行定義的 LDAP 搜尋。 「第一次啟動時要同步化的搜尋結果」設定,定義是否將啟始搜尋結果同步化,或只將後續的變更同步化。

發行方法」參數設為「LDAP 搜尋」時,才會出現「第一次啟動時要同步化的搜尋結果」選項。當輸入組態檔時,系統不會提示您提供此設定。 然而,您可以在輸入檔案後再變更設定。

  1. 在 iManager 中,選取「Identity Manager」>「Identity Manager 概觀」,然後搜尋驅動程式集。

  2. 在驅動程式集中,按一下 LDAP 驅動程式圖示。

  3. 在驅動程式檢視中,再按一下 LDAP 驅動程式圖示。

  4. 捲動到「驅動程式參數」。

  5. 在「發行者設定」區段中,選取所需的選項。

    預設的設定是「僅同步化後續變更」。