Red Hat Training
A Red Hat training course is available for Red Hat Enterprise Linux
6.2. 关于 Active Directory 和 IdentityIdentity Managementnbsp;Management
在 IdM 域中,通过在数据 master(服务器和副本)之间可靠地复制该信息,在服务器和副本之间共享信息。此过程是复制。
相似的过程可用于在 IdM 域和 Microsoft Active Directory 域之间共享数据。这是同步。
同步是指在 Active Directory 和 IdentityIdentity Managementnbsp 之间复制用户数据;Management。当用户在 ActiveActive Directorynbsp;Directory 和 IdentityIdentity Managementnbsp 之间同步时,会使用目录同步(DirSync)LDAP 服务器扩展控制来搜索已更改对象的目录。
图 6.1. ActiveActive Directorynbsp;Directory and IdM Synchronization
同步在 aan IdMnbsp;IdM 服务器和 ActiveActive Directorynbsp;Directory 域控制器之间定义。协议定义识别可以同步的用户条目所需的所有信息,如要同步的子树,以及定义帐户属性的处理方式。使用默认值创建同步协议,这些默认值可以调整以满足特定域的需求。当两台服务器参与同步时,它们就称为同级服务器。
表 6.1. 同步协议中的信息
| Windows 信息 | IdM 信息 |
|---|---|
|
|
同步通常是双向的。在一个与 IdM 服务器和副本共享信息非常相似的进程中,在 IdM 和 Windows 域之间来回发送信息。新用户条目除外,它们仅从 Windows 域添加到 IdM 域。可以将同步配置为仅同步一种方式。这是单向同步。
为防止数据冲突的风险,只有一个目录应源自或移除用户条目。这通常是 Windows 目录,它是 IT 环境中的主要身份存储,然后新帐户或帐户删除会同步到 IdentityIdentity Managementnbsp;Management peer。两个目录都可以修改条目。
然后,同步配置了一个 IdentityIdentity Managementnbsp;Management server 和一个 ActiveActive Directorynbsp;Directory 域控制器。IdentityIdentity Managementnbsp;Management 服务器在整个 Windows 域中传播至 IdM 域,而域控制器则在整个 Windows 域中传播更改。
图 6.2. 同步拓扑
IdM 同步有几个关键功能:
- 同步操作每五分钟运行一次。要修改频率,请在 Active Directory 对等 DN 中设置
winSyncInterval属性:cn=meTowinserver.ad.example.com,cn=replica,cn=dc\3Didm\,dc\3Dexample\,dc\3Dcom,cn=mapping tree,cn=config
- 同步只能配置一个 ActiveActive Directorynbsp;Directory 域。
- 同步只能 配置一个 ActiveActive Directorynbsp;Directory 域控制器。
- 仅同步用户信息;组信息不.
- 用户属性和密码都可以同步。
- 虽然修改是双向的(从 ActiveActive Directorynbsp;Directory 到 IdM,从 IdM 到 ActiveActive Directorynbsp;Directory)时,创建帐户只能从 ActiveActive Directorynbsp;Directory 到 IdentityIdentity Managementnbsp;Management.在 ActiveActive Directorynbsp 中创建的新帐户;Directory 会自动同步到 IdM。但是,在 IdM 中创建的用户帐户还必须在 ActiveActive Directorynbsp;Directory 中创建,然后才能同步。在这种情况下,同步进程会尝试找到与 IdM 中
uid属性相同的匹配帐户,而不是在 ActiveActive Directorynbsp;Directory 中找到sAMAccountName属性。如果找到匹配项,IdMntUserDomainId属性被设置为 ActiveActive Directorynbsp;DirectoryobjectGUID值。这些属性全局唯一且不可变,并且条目保持同步,即使它们被移动或重命名。 - 默认情况下,帐户锁定信息同步,因此一个域中禁用的用户帐户在另一个域中被禁用。
- 密码同步更改将立即生效。如果在一个对等上添加或更改了用户密码,该更改将立即传播到其他同级服务器。Password Synchronization 客户端会同步新密码或密码更新。现有密码以 IdM 和 ActiveActive Directorynbsp 的散列形式存储;Directory,当安装 Password Synchronization 客户端时,无法解密或同步现有密码。必须更改用户密码,以启动对等服务器之间的同步。
- 虽然只能有一个协议,但 PassSync 服务必须安装在每个 ActiveActive Directorynbsp;Directory 服务器上。
当 ActiveActive Directorynbsp;Directory 用户与 IdM 同步时,某些属性(包括 Kerberos 和 POSIX 属性)将自动添加到用户条目中。这些属性供 IdM 在其域中使用。它们不会在对应的 ActiveActive Directorynbsp;Directory 用户条目中同步。
同步中的一些数据可以在同步过程中修改。例如,某些属性可以自动添加到 ActiveActive Directorynbsp;Directory 用户帐户与 IdM 域同步时。这些属性更改定义为同步协议的一部分,如 第 6.5.2 节 “更改同步用户帐户属性的行为” 中所述。
