Novell Documentation: Identity Manager Drivers

3.3 安装

3.3.1 安装 LDAP 驱动程序

可以在安装 Metadirectory 引擎后单独安装此驱动程序。

在 Windows 上安装

将 Identity Manager Driver for LDAP 安装在 Windows NT* 2003 服务器或带有 Support Pack 2 的 Windows NT 2000 上。

从 Identity Manager 2.0 CD 或下载映象运行安装程序。

可下载文件位于 Novell 下载。

如果安装程序没有自动启动，可以运行 \nt\install.exe。
在《欢迎使用》对话框中，单击《下一步》，然后接受许可协议。
在第一个《Identity Manager 概述》对话框中，查看概述信息，然后单击《下一步》。

此对话框提供有关以下两项的信息：
- Metadirectory 服务器
- 已连接 Identity Manager 的服务器系统
在第二个《Identity Manager 概述》对话框中，查看其中信息，然后单击《下一步》。

此对话框提供有关以下两项的信息：
- 基于万维网的管理服务器
- Identity Manager 实用程序
在《请选择要安装的部件》对话框中，仅选择 Metadirectory Server（Metadirectory 服务器），然后单击《下一步》。
在 Select Drivers for Engine Install（选择要安装的引擎驱动程序）对话框中，仅选择 LDAP，然后单击《下一步》。
在《Identity Manager 升级警告》对话框中，单击《确定》。
在《纲要扩展》对话框中，键入用户名和口令，然后单击《下一步》。

要使口令有效，必须具有对根的权限。
在《摘要》对话框中，查看选定的选项，然后单击《完成》。
在《安装完毕》对话框中，单击《关闭》。

在安装后，必须按设置驱动程序中的说明来配置此驱动程序。

在 NetWare 上安装

在 NetWare® 服务器上，插入 Identity Manager 3 CD 并将其作为卷装入。

要装入此 CD，请输入 m cdrom。
（视情况而定）如果图形实用程序未装载，请输入 startx 来装载它。
在图形实用程序中，单击 Novell 图标，然后单击《安装》。
在《安装的产品》对话框中，单击《添加》。
在《源路径》对话框中，浏览并选择 product.ni 文件。
1. 找到并展开先前装入的 CD 卷。
2. 展开 nw 目录，选择 product.ni，然后单击《确定》两次。
在《欢迎使用》对话框中，单击《下一步》，然后接受许可协议。
在《Identity Manager 安装》对话框中，仅选择《Metadirectory 服务器》。

取消选择以下项：
- Identity Manager 万维网部件
- 实用程序
在《选择要安装的引擎驱动程序》对话框中，仅选择《定界文本》。

取消选择以下项：
- Metadirectory 引擎
- 除 LDAP 之外的所有驱动程序
单击《下一步》。
在《Identity Manager 升级警告》对话框中，单击《确定》。

此对话框将建议您在 90 天内激活驱动程序的许可证。
在《纲要扩展》对话框中，键入用户名和口令，然后单击《下一步》。
在《摘要》页中，查看选定的选项，然后单击《完成》。
单击《关闭》。

在安装后，必须按设置驱动程序中的说明来配置此驱动程序。

在 Linux、Solaris 或 AIX 上安装

默认情况下，在安装 Metadirectory 引擎的同时会安装 Identity Manager Driver for LDAP。如果那时未安装此驱动程序，本节将帮助您安装它。

当您执行安装程序中的步骤时，可以通过输入 previous 来返回到上一部分（屏幕）。

在终端会话中，以根用户的身份登录。
插入 Identity Manager 3.0 CD 并装入它。

通常，此 CD 将自动装入。但是，也可以手动装入。例如，对于 SUSE®，请键入 mount /media/cdrom。
更改到安装目录。

平台

路径

Red Hat

/mnt/cdrom/linux/setup/

SUSE

/media/cdrom/linux/setup/

Solaris

/cdrom/solaris/_idm_2/setup/

AIX

/media/cdrom/aix/setup/
运行安装程序。

例如，对于 SUSE，请运行 ./dirxml_linux.bin。
在《介绍》部分中，按 Enter 键。
按 Enter 键，直到看到 Do You Accept the Terms of This License Agreement（是否接受该许可协议中的条款）提示，键入 y 以接受许可协议，然后按 Enter 键。
在 Choose Install Set（选择安装集）部分中，选择《自定义》选项。

键入 4，然后按 Enter 键。
在 Choose Product Features（选择产品功能）部分中，取消选择除 LDAP 之外的所有功能，然后按 Enter 键。

要取消选择某一功能，请键入其编号。在要取消选择的其它功能之间键入逗号。
在 Pre-Installation Summary（预安装摘要）部分中，查看其中选项。

要返回到上一部分，请键入 previous，然后按 Enter 键。

要继续，请按 Enter 键。
在安装完成后，按 Enter 键退出安装。

平台	路径
Red Hat	/mnt/cdrom/linux/setup/
SUSE	/media/cdrom/linux/setup/
Solaris	/cdrom/solaris/_idm_2/setup/
AIX	/media/cdrom/aix/setup/

在安装后，必须按设置驱动程序中的说明来配置此驱动程序。

3.3.2 设置驱动程序

如果是升级现有的驱动程序，则无需设置。

如果第一次使用 LDAP 驱动程序，则需完成以下各节中的设置任务：

准备 LDAP 服务器

如果此驱动程序只用于将数据从 Identity Vault 同步到 LDAP 服务器（在订购者通道上）的数据，那么大多数 LDAP 服务器和应用程序均可运行（无需任何其它配置）。

始终要创建一个具有必需权限的用户对象，以便驱动程序可以鉴定到 LDAP 服务器。

但是，如果需要将 LDAP 服务器上的项目更改同步回 Identity Vault（在订购者通道上），并且如果计划使用 changelog 方法，那么在运行此驱动程序之前，至少需要对 LDAP 服务器执行另外一个配置任务。校验是否启用了 LDAP 服务器的更改日志机制。

IMPORTANT:如果 LDAP 服务器没有 changelog 机制，则使用 LDAP-Search 方法。否则，此驱动程序将无法发布此服务器的事件。

创建具有鉴定权限的 LDAP 用户对象

使用 changelog 发布方法时，此驱动程序尝试防止发生以下回送情况：在订购者通道上发生的事件被发送回发布者通道上的 Metadirectory 引擎。但是，LDAP-Search 方法依赖于 Metadirectory 引擎来防止回送。

如果使用 changelog 方法，此驱动程序防止发生回送的方法之一是在更改日志中查找哪位用户做出了更改。如果做出更改的用户就是该驱动程序用于鉴定的用户，发布者将假定更改是由驱动程序的订购者通道做出的。

NOTE:如果使用 Critical Path InJoin 服务器，那么在该服务器上的更改日志实施将受到一定限制，因为服务器未提供可以启动更改的对象的 DN。因此，创建者/修改者 DN 不能用于确定更改是否来自 Identity Vault。

这种情况下，在更改日志中找到的所有更改都由发布者发送至 Metadirectory 引擎，同时优化/修改将丢弃不必要或重复的更改。

要防止发布者通道丢弃合法的更改，请确保未将该驱动程序用于鉴定的用户对象用于任何其它目的。

例如，假设使用的是 Netscape Directory Server，并已将此驱动程序配置为使用管理员帐户 CN=Directory Manager。如果要手动在 Netscape Directory Server 中进行更改并同步此更改，则无法利用 CN=Directory Manager 登录并进行更改，而必须使用另一个帐户。

避免此问题：

创建此驱动程序专用的用户帐户。

指派该用户帐户权限以查看更改日志，并进行希望此驱动程序能够实现的更改

例如，在 VMP 公司，为驱动程序创建名为 uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com 的用户帐户。然后，通过使用 LDAPModify 工具或 Novell 导入/转换/导出实用程序将下列 LDIF 应用到服务器，从而将适当的权限指派给此用户帐户。

# give the new user rights to read and search the changelog

dn: cn=changelog

changetype:modify

add: aci

aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (compare,read,search) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

# give the new user rights to change anything in the o=lansing.vmp.com container

dn: o=lansing.vmp.com

changetype:modify

add: aci

aci: (targetattr = "*")(version 3.0; acl "LDAP DirXML Driver"; allow (all) userdn = "ldap:///uid=ldriver,ou=Directory Administrators,o=lansing.vmp.com"; )

启用更改日志

更改日志是 LDAP 服务器的一部分，它使此驱动程序能够识别需要从 LDAP 目录发布到 Identity Vault 的更改。受此驱动程序支持的 LDAP 目录支持 changelog 机制。

默认情况下，Critical Path InJoin 和 Oracle Internet Directory 都启用了更改日志。除非更改日志已关闭，否则不需要执行其它任何步骤即可启用它。

IBM SecureWay、Netscape Directory Server 和 iPlanet Directory Server 需要您在安装后启用更改日志。有关启用更改日志的信息，请参考适用于您的 LDAP 目录的文档。

HINT:iPlanet 更改日志需要您启用 Retro Changelog 插件。

导入样本驱动程序配置文件

使用 iManager 导入

按照《Novell Identity Manager 3.0 管理指南》中的《创建和配置驱动程序》中导入驱动程序的说明来导入 LDAP 驱动程序配置。

在导入过程中，提供驱动程序配置的下列信息。

Table 3-1 LDAP 驱动程序的设置

字段	说明
驱动程序名	要指派到此驱动程序或要更新其配置的现有驱动程序的 Identity Vault 对象名。
布局类型	如果选择《简单》布局选项，在 LDAP 目录中创建的新用户对象会被放置在导入驱动程序配置时指定的 Identity Vault 中的树枝中。用户对象将以 cn 的值命名。如果选择《镜像》布局选项，在 LDAP 目录中创建的新用户对象会被放置在一个 Identity Vault 树枝中（该树枝镜像对象的 LDAP 树枝）。
eDirectory 树枝	应在其中创建新用户的 Identity Vault 中的树枝。如果此树枝不存在，则必须在启动驱动程序之前创建它。对于 LDAPMirrorSample.xml 配置，该目录是驱动程序布局策略的起始点。从属树枝的名称应与 LDAP 镜像树枝中的从属树枝的名称相同。对于《平面》配置，该树枝包含所有用户对象。
LDAP 树枝	应在其中创建新用户的 LDAP 目录中的树枝。如果此树枝不存在，则必须在启动驱动程序之前创建它。对于《平面》配置，该目录是驱动程序布局策略的起始点。对于 LDAPSimplePlacementSample.xml 配置，该树枝包含所有用户对象。
LDAP 服务器	LDAP 服务器的主机名或 IP 地址以及端口。
LDAP 鉴定 DN	指定为 LDAP 驱动程序创建的管理员帐户的 LDAP DN。
LDAP 鉴定口令	LDAP 驱动程序管理员帐户的口令。可以通过在下一字段中重新输入该口令对其进行确认。这是已鉴定用户的必需口令。如果只有 LDAP 驱动程序使用 Directory Manager，那么默认的已鉴定用户可以正常运行。但是，如果该用户被用于任何其它目的，那么在驱动程序运行后可能需要更改默认设置。请参见创建具有鉴定权限的 LDAP 用户对象。
SSL	加密 LDAP 协议通讯。
配置数据流	《双向》意味着 LDAP 和 Identity Vault 都是在它们之间同步的数据的授权源。 LDAP to eDirectory（LDAP 到 eDirectory）意味着 LDAP 是授权源。 eDirectory to LDAP（eDirectory 到 LDAP）意味着 Identity Vault 是授权源。
Install Driver as Remote/Local（安装为远程/本地驱动程序）	选择《远程》，可将驱动程序配置为用于远程装载程序服务；选择《本地》，可将驱动程序配置为在本地使用。
远程主机名和端口	为此驱动程序指定主机名或 IP 地址以及端口号（已在该主机上安装了远程装载程序服务且该服务正在运行）。默认端口为 8090。
驱动程序口令	远程装载程序使用驱动程序对象的口令向 Metadirectory 服务器鉴定自己的身份。驱动程序对象口令必须与 Identity Manager 远程装载程序上指定的驱动程序对象口令相同。
远程口令	该口令仅用于远程装载程序配置中，它允许远程装载程序鉴定到 Metadirectory 引擎。远程装载程序口令用于控制对远程装载程序实例的访问。远程装载程序口令必须与指定为 Identity Manager 远程装载程序上的远程装载程序口令相同。
口令失败通知用户	当口令失败时，向指定用户发送电子邮件通知。
Enable Entitlements（启用权利）	选择《是》或《否》。因为这是一个设计决定，所以应在选择使用权利之前应该先对其进行了解。有关权利的信息，请参见《Novell Identity Manager 3.0 管理指南》中的《创建和使用权利》。

使用 Designer for Identity Manager 导入

可以使用 Designer for Identity Manager 导入 LDAP 驱动程序的基本驱动程序配置文件。此基本文件可创建和配置驱动程序正常运行所需的对象和策略。

下面的过程介绍了导入样本配置文件的多种方法之一：

在 Designer 中打开一个项目。
在建模器中，右键单击《驱动程序集》对象，然后选择 Add Connected Application（添加连接的应用程序）。
从下拉列表中选择 LDAP.xml，然后单击《运行》。
在 Perform Prompt Validation（执行提示验证）窗口中，单击《是》。
填充各个字段以配置驱动程序。

指定特定于所在环境的信息。有关这些设置的信息，请参见使用 iManager 导入中的表。
在指定参数后，单击《确定》以导入驱动程序。
自定义并测试驱动程序。
将驱动程序部署到 Identity Vault 中。

请参见《Designer for Identity Manager 3：管理指南》中的《将项目部署到 Identity Vault 中》。

启动驱动程序

如果在配置过程中更改了默认数据位置，请确保在启动驱动程序之前新位置已存在。

在 iManager 中，选择 Identity Manager >《Identity Manager 概述》。
在所属驱动程序集中找到此驱动程序。
单击驱动程序图标右上角的驱动程序状态指示器，然后单击《启动驱动程序》。

如果有更改日志，那么驱动程序将处理更改日志中的所有更改。要强制初始同步，请参见迁移和重新同步数据。

迁移和重新同步数据

Identity Manager 在数据更改时对其进行同步。如果要立即同步所有数据，可以选择以下选项：

从 eDirectory 迁移数据： 使您可以选择希望从 Identity Vault 迁移到 LDAP 服务器的树枝或对象。迁移对象时，Metadirectory 引擎会将所有《匹配》、《布局》、《创建》策略以及订购者过滤器应用于对象。

NOTE:当将数据从 Identity Vault 迁移到 LDAP 目录中时，可能需要更改您的 LDAP 服务器设置以允许迁移大量对象。请参见Section 5.1, 将用户迁移到 Identity Vault 中。
将数据迁移到 eDirectory 中： 使您可以定义 Identity Manager 用于将对象从 LDAP 服务器迁移到 Identity Vault 中的准则。迁移对象时，Metadirectory 引擎会将所有《匹配》、《布局》、《创建》策略以及发布者过滤器应用于对象。按照类列表中指定的顺序将对象迁移到 Identity Vault 中。
同步： Identity Manager 在订购者类过滤器中查找并处理这些类的所有对象。关联对象被合并，为关联的对象作为添加事件进行处理。

使用其中的一个选项：

在 iManager 中，选择 Identity Manager >《Identity Manager 概述》。
找到包含 Identity Manager Driver for LDAP 的驱动程序集，然后双击驱动程序图标。
单击相应的迁移按钮。

激活驱动程序

在安装后的 90 天内激活驱动程序。否则，驱动程序将无法运行。

有关激活的信息，请参见《Identity Manager 3.0 安装指南》中的《激活 Novell Identity Manager 产品》。