4.2 配置数据同步

4.2.1 确定要同步哪些对象

Identity Manager 使用发布者和订购者通道上的过滤器来控制要同步哪些对象,以及定义这些对象的授权数据源。

有关默认过滤器的图解,请参见过滤器。 使用下列步骤可更改默认过滤器。

编辑发布者和订购者过滤器

  1. 在 iManager 中,选择 Identity Manager >《Identity Manager 概述》

  2. 在所属驱动程序集中找到此驱动程序。

  3. 单击驱动程序,打开《Identity Manager 驱动程序概述》页。

  4. 单击发布者或订购者过滤器图标,进行相应更改。

    发布者过滤器必须包括 Identity Vault 必备特性。订购者过滤器必须包括 LDAP 服务器必需的特性。

    除非两个目录中的类或特性名称相同,否则对于每个在过滤器中选定的对象和特性,《映射》策略必须有相应的项目。 在映射特性之前,请校验目标目录中是否实际存在相应的特性。  

4.2.2 定义纲要映射

不同的 LDAP 服务器有不同的纲要。 驱动程序首次启动时,它会向服务器查询特定的纲要。

您必须熟悉 eDirectory 特性和 LDAP 服务器特性的特征。驱动程序将处理所有 LDAP 特性类型(cis、ces、tel、dn、int、bin)。它还处理 eDirectory 传真电话号码。

映射特性时遵循以下准则:

  • 校验每个在订购者和发布者策略中指定的类和特性是否都已在映射策略中映射(除非两个目录中的类或特性名称相同)。
  • 将 eDirectory™ 特性映射为 LDAP 服务器特性之前,校验 LDAP 服务器特性是否实际存在。例如,为 Identity Vault 上的用户对象定义了 Fullname 特性,但 Netscape 中的 inetOrgPerson 对象中不存在 Fullname。
  • 始终将特性映射为相同类型的特性。 例如,将字符串特性映射为字符串特性,将八位特性映射为二进制特性,或将电话号码特性映射为电话号码特性。
  • 将多值特性映射为多值特性。

驱动程序不提供不同特性类型之间的转换,或者从多值特性到单值特性的转换。 驱动程序也不识别除《传真电话号码》和《邮递地址》以外的结构化的特性。

Identity Manager 可以灵活处理它接受的来自发布者的语法:

  • 接受非结构化/非八位语法 。 只要实际数据可以强制转换为相应类型,Identity Manager 就可以接受任何非结构化/非八组语法转换为其它任何非结构化/非八位语法。 也就是说,如果 Identity Vault 正在查找数字值,则实际数据应当是数值。

  • 将数据强制转换为八位数据 。 如果 Identity Manager 需要八位数据而获取的却是一个非八位/非结构化类型,则通过将字符串值序列化为 UTF-8,Identity Manager 就可以将数据强制转换为八位数据。

  • 将数据强制转换为字符串 。 当 Identity Manager 传送八位数据,同时又需要一个非结构化类型时,Identity Manager 会通过解码 Base64 数据,将数据强制转换为字符串。 然后,Identity Manager 会尝试将结果解释为 UTF-8 编码字符串(如果不是有效的 UTF-8 字符串,则解释为平台的默认字符编码),然后会应用与《接受非结构化/非八位语法》相同的规则。

  • 传真号码 。 对于传真号码,如果已传进非结构化类型,则《接受非结构化/非八位语法》和《将数据强制转换为字符串》规则将应用于数据,以获取传真号码中的电话号码部分。 而其它字段则使用默认值。

  • 状态。 状态。 对于状态,False、No、F、N(不区分大小写)、0 和 ""(空字符串)解释为 False,任何其它值都解释为 True。

配置纲要映射策略:

  1. 在 iManager 中,单击 Identity Manager >《Identity Manager 概述》

  2. 在所属驱动程序集中找到此驱动程序。

  3. 单击驱动程序,打开《Identity Manager 驱动程序概述》页。

  4. 单击发布者或订购者通道上的纲要映射图标。

  5. 编辑该策略以符合您的设置。

4.2.3 在 Netscape 中定义对象替换

我们建议对 Netscape Directory Server 中的对象应用以下 Netscape 命名规则。为方便起见,以下提供了对命名规则的简要说明。

目录包含表示人员的项目。这些人员项目必须具有名称。换而言之,您必须决定每个人员项目所使用的相对判别名 (RDN)。DN 必须是一个唯一、易于识别、永久的值。我们建议使用 uid 特性来指定与人员关联的唯一值。以下是人员项目的 DN 示例:

uid=jsmith,o=novell

目录还将包含表示除人员外的许多内容的项目(例如,组、设备、服务器、网络信息或其它数据)。我们建议在 RDN 中使用 cn 特性。因此,如果您要命名一个组项目,命名方法则如下所示:

cn=administrators,ou=groups,o=novell

此目录还包含分支点或树枝。您需要决定用于标识分支点的特性。 由于特性名是有意义的,因此应使用具有它表示的项目类型的特性名。Netscape 建议按如下方式定义特性:

Table 4-2 Netscape 建议特性

特性名

定义

c

国家/地区名称

o

组织名称

ou

组织单元

st

州/省

l

位置

dc

域部件

订购者布局策略指定类名的命名特性。 以下是用户类名的示例。<placement> 语句指定 uid 用作命名特性。

<placement-rule> <match-class class-name="User"/> <match-path prefix="\Novell-Tree\Novell\Users"/> <placement>uid=<copy-name/>,ou=People,o=Netscape</ placement> </placement-rule>

以下的订购者布局指定 ou 用作类名组织单元的命名特性。

<placement-rule> <match-class class-name="Organizational Unit"/> <match-path prefix="\Novell-Tree\Novell\Users"/> <placement>ou=<copy-name/>,ou=People,o=Netscape</placement> </placement-rule>

配置布局策略

  1. 在 iManager 中,单击 Identity Manager >《Identity Manager 概述》

  2. 在所属驱动程序集中找到此驱动程序。

  3. 单击驱动程序,打开《Identity Manager 驱动程序概述》页。

  4. 单击发布者或订购者策略图标,然后进行相应更改。

4.2.4 使用 eDirectory 组和 Netscape

由于 Identity Vault 和 Netscape Directory Server 中的组特性不同,因此驱动程序需要一些特殊处理。在发布者通道上,当驱动程序发现类名 groupofuniquenames 中有 uniquemember 特性时,需要进行特殊处理。

驱动程序还将在 eDirectory 组中设置《与我等效》特性。该特性必须包括在发布者过滤器中。特性《与我等效》无需在纲要映射策略中,因为 eDirectory 特性名已被使用。Netscape Directory Server 中不存在等效特性名。不要求对订购者通道进行特殊处理。