4.1 控制从 LDAP 目录到 Identity Vault 的数据流

Figure 4-1 样本配置文件中的设置

通过调整驱动程序的操作参数,可以调整驱动程序行为,使其符合您的网络环境要求。 例如,您可能会发现默认发布者通道巡回检测间隔比同步需求所要求的间隔短。 增大间隔可提高网络性能,并保持正确的同步。

如果 LDAP 服务器有更改日志,建议使用 changelog 发布方法。 如果没有更改日志,则可以使用 LDAP-Search 发布方法。 changelog 方法是首选方法。

4.1.1 LDAP 驱动程序设置

Figure 4-2 LDAP 驱动程序设置

  1. 在 iManager 中,选择 Identity Manager >《Identity Manager 概述》,然后搜索驱动程序集。

  2. 在驱动程序集中,单击 LDAP 驱动程序图标。

  3. 在驱动程序视图中,再次单击 LDAP 驱动程序图标。

  4. 滚动至《驱动程序参数》

  5. 在《驱动程序设置》部分中,选择所需选项。

    有关设置的信息,请单击信息图标

4.1.2 LDAP 订购者设置

Figure 4-3 LDAP 订购者设置

导入样本配置文件时,系统不会提示您进行此设置。 但是,您可以在导入该文件后更改此设置。 在《订购者设置》部分中,选择所需选项。

默认设置为《是》。 大部分 LDAP 服务器都支持使用 RFC 2251 的 4.1.5.1 小节中规定的二进制特性选项。

如果不知道与此驱动程序相连接的 LDAP 服务器是否支持二进制特性选项,请选择《是》

4.1.3 LDAP 发布者设置: changelog 和 LDAP-Search 方法

Figure 4-4 LDAP 普通发布者设置

有些设置同时适用于 changelog 和 LDAP-Search 发布方法, 而有些设置仅适用于 changelog 发布方法。 其它设置则仅适用于 LDAP-Search 发布方法。

巡回检测间隔(秒)

驱动程序检查 LDAP 服务器的 changelog 或 LDAP-Search 方法的间隔。 当找到新更改时,这些新更改会应用于 Identity Vault。

建议将巡回检测间隔设置为 120 秒。

临时文件目录

将此值设置为本地文件系统(驱动程序在其上运行)上的、用于写入临时状态文件的目录。 如果未指定路径,则驱动程序将使用默认驱动程序路径。

Table 4-1 临时文件目录

平台或环境

默认目录

eDirectory

DIB 文件目录

远程装载程序

远程装载程序的根目录

这些文件可以起到以下作用:

  • 保持驱动程序的一致性(即使在驱动程序关闭时)
  • 防止搜索的数据量较大时内存不足

心跳间隔(分)

要打开心跳,请键入数值。 要关闭心跳,请将该字段保留为空。

有关驱动程序心跳的信息,请参见《Novell Identity Manager 3.0 管理指南》中的《添加驱动程序心跳》。

4.1.4 LDAP 发布者设置: 仅 changelog 方法

Figure 4-5 LDAP 发布者通道上的 changelog 设置

启动时处理的 changelog 项目

此参数指定启动时要处理哪些项目。

  • 全部: 发布者尝试处理在更改日志中找到的全部更改, 直到处理完全部更改。 它会根据巡回检测速率处理新更改。
  • 无: 当驱动程序开始运行时,发布者不会处理任何已经存在的项目。 它会根据巡回检测速率处理新更改。
  • 未处理项:这是默认设置。 如果驱动程序是第一次运行,则它会像 1-《全部》一样,处理所有新更改。

    如果驱动程序以前已运行,则此设置会使发布者只处理从驱动程序上次运行到现在所产生的新更改。 此后,它会根据巡回检测速率处理新更改。

当使用 changelog 方法时,驱动程序会查找批大小设置和 Prevent Loopback(防止回送)设置。

changelog 处理的最大批大小

当发布者通道处理来自 LDAP 更改日志的新项目时,发布者会请求大小为此值的批中的项目。 如果更改日志中项目的数量小于此值,则会立即处理所有项目。 如果大于此值,则会将项目分成大小为此值的批,分批连续处理。

首选 LDAP 对象类名称

Preferred LDAP ObjectClass Name(首选 LDAP 对象类名称)设置是用来指定发布者通道上首选对象类的可选驱动程序参数。

Identity Manager 要求使用单一对象类对所有对象都进行标识。 但是,许多 LDAP 服务器和应用程序都可以为一个对象列出多个对象类。 默认情况下,当 Identity Manager Driver for LDAP 在 LDAP 服务器或应用程序上找到被添加、删除或修改过的对象时,它会向 Metadirectory 引擎发送事件,并使用在纲要定义中具有最多继承级别的对象类来标识该对象。

例如,在 LDAP 中,能够标识用户对象的对象类有 inetorgperson、organizationalperson、person 和 top。 inetorgperson 在纲要具有最多继承级别(inetorgperson 从 organizationalperson 继承,organizationalperson 从 person 继承,person 从 top 继承)。 默认情况下,驱动程序会将 inetorgperson 用作它向 Metadirectory 引擎报告的对象类。

如果要更改驱动程序的默认行为,可以添加 preferredObjectClasses 参数,该参数为可选驱动程序发布者参数。 此参数的值可以是一个 LDAP 对象类,也可以是 LDAP 对象类列表(以空格分隔)。

当此参数存在时,Identity Manager Driver for LDAP 会检查发布者通道中的每个对象,以查看是否包括列表中的某个对象类。 它会按这些对象在 preferredObjectClasses 参数中显示的顺序来查找它们。 如果它发现列出的某个对象类与 LDAP 对象的 objectclass 特性的某个值相匹配,则它会将该对象类用作它向 Metadirectory 报告的对象类。 如果没有匹配的对象类,则它会采取其报告主要对象类的默认行为。

防止回送

《防止回送》参数只用于 changelog 发布方法。 除了 Metadirectory 引擎中内置的回路阻止外,LDAP‑Search 方法不防止回路。

发布者通道的默认行为是避免发送订购者通道所做的更改。 发布者通道通过搜索 LDAP 更改日志的 creatorsname 或 modifiersname 特性来检测订购者通道的更改,以便查看进行更改的已鉴定项目是否与驱动程序用来鉴定到 LDAP 服务器的项目相同。 如果相同,发布者通道会假定此更改是由驱动程序的订购者通道做出,从而不会同步更改。

例如,您可能没有为此驱动程序配置订购者通道,但希望能够使用其它进程所用的相同 DN 和口令进行更改。

如果您确定要允许发生此类型的回送,请编辑驱动程序参数:

  1. 在 iManager 中,选择《Identity Manager 管理》>《Identity Manager 概述》

  2. 在所属驱动程序集中找到此驱动程序。

  3. 单击此驱动程序以打开《驱动程序概述》页,然后再次单击此驱动程序以打开《更改对象》页。

  4. 滚动至《发布者设置》部分,然后将《阻止回送》设置为《否》

  5. 单击《确定》,单击《应用》,然后重新启动驱动程序,使此参数生效。

4.1.5 LDAP 发布者设置: LDAP-Search 方法

Figure 4-6 LDAP 发布者通道的 LDAP-Search 设置

过去,LDAP 驱动程序只能通过读取 LDAP 服务器的更改日志来检测该服务器中的更改。 但是,有些服务器不使用 changelog 机制,这实际上不属于 LDAP 标准。 在没有更改日志的情况下,LDAP 驱动程序以前无法将有关这些 LDAP 服务器的数据发布到 Identity Vault。

但是,LDAP-Search 发布方法不需要更改日志。 此方法使用标准 LDAP 搜索,然后比较每个搜索间隔与下一间隔的结果来检测更改。

您可以将 LDAP-Search 发布方法用作传统 changelog 发布方法的替代方法。 Identity Manager Driver for LDAP 对这两种方法都支持。 但是,changelog 方法的性能较好,所以当有更改日志时,changelog 方法是首选方法。

如果没有更改日志,请设置下列参数:

搜索基本 DN

当使用发布者通道时,如果没有更改日志,则需要该参数。 将该参数设置为巡回检测搜索起始树枝的 LDAP 判别名 (DN)(例如,ou=people,o=company)。

要使用更改日志,请将此参数保留为空。

搜索范围(1 - 子树、2 - 一级、3- 基本)

指示巡回检测搜索的深度。 此参数的默认值是搜索《搜索基本 DN》所指向的整棵子树。

没有更改日志时,请使用此参数。

类处理顺序

当参照特性有问题时,发布者通道用来排列某些事件顺序的可选参数。 该参数的值为 LDAP 服务器的类名称列表(以空格分隔)。 例如,为了确保先创建新用户,然后再将其添加到组,要求 interorgperson 在 groupofuniquenames 的前面。

Identity Manager Driver for LDAP 定义了一个特殊的类名称《others》,用来表示除显式列出的类之外的所有类。

此参数的默认值是《other groupofuniquenames》。

没有更改日志时,请使用此参数。

首次启动时同步的搜索结果

LDAP 驱动程序首次启动时,它会执行已定义的 LDAP 搜索。 Search Results to Synchronize on First Startup(首次启动时同步的搜索结果)设置可定义是同步首次搜索结果,还是只同步后续更改。

《首次启动时同步的搜索结果》选项只在《发布方法》参数设置为 LDAP-Search 时才会出现。 导入配置文件时,系统不会提示您进行此设置。 但是,您可以在导入文件后更改此设置。

  1. 在 iManager 中,选择 Identity Manager >《Identity Manager 概述》,然后搜索驱动程序集。

  2. 在驱动程序集中,单击 LDAP 驱动程序图标。

  3. 在驱动程序视图中,再次单击 LDAP 驱动程序图标。

  4. 滚动至《驱动程序参数》

  5. 在《发布者设置》部分中,选择所需选项。

    默认设置为 Synchronize only subsequent changes(仅同步后续更改)。