下表说明在驱动程序的初始配置期间必须提供的参数。
NOTE:这些参数显示在多个屏幕上。仅当上一个提示的回答需要用于正确配置策略的更多信息时,才会显示其中的某些参数。
Table 4-1 配置参数
|
字段 |
说明 |
|---|---|
|
|
将要指派给该驱动程序的 eDirectory™ 对象名。 由于每个 Active Directory 域都需要一个不同的驱动程序,因此应该将域名包含在驱动程序名中。 在查看驱动程序时,就知道该驱动程序与哪个域关联。 |
|
|
与 Active Directory 进行鉴定的方法。 《协商》为首选方法。 选择《协商》可使用 Microsoft 安全包来协商鉴定。 要使用《协商》,承载驱动程序的服务器必须是域的成员。 如果计划使用口令同步,并且在成员服务器上运行,则需要 SSL。 《简单》使用 LDAP 简单联结。 如果选择《简单》,则建议使用 SSL。 IMPORTANT:简单联结不支持口令同步或 Exchange 供应。 |
|
|
由 Identity Manager 使用的、具有管理特权的 Active Directory 帐户。 使用的名称格式取决于选定的鉴定机制。 对于《协商》,请提供 Active Directory 鉴定机制所需的名称格式。例如:
对于《简单》,请提供 LDAP ID。例如:
|
|
|
鉴定 ID 中指定的用户帐户的口令。 |
|
|
用于同步的 Active Directory 域控制器的名称。 例如,对于《协商》鉴定方法,可使用 DNS 名称 mycontroller.domain.com。对于《简单》鉴定方法,可使用服务器的 IP 地址(例如 10.10.128.23 或 DNS 名称)。 如果不指定任何值,则使用本地主机。 NOTE:此值将储存在 Authentication Context 特性中。 要在完成初始配置后更改此值,请按照安全性参数中的说明修改此特性。 |
|
|
此驱动程序管理的 Active Directory 域。 此驱动程序需要采用 LDAP 格式设置的域名:dc=domain,dc=com |
|
|
此驱动程序管理的 Active Directory 域的 DNS 名称。 此驱动程序需要采用 DNS 格式设置的域名:domain.com |
|
|
更改发生后,Identity Vault 将更改发送到 Active Directory。但是,只能按照配置的巡回检测间隔来确定将 Active Directory 更改发送到 Identity Vault 的频率。默认值为 1 分钟。 IMPORTANT:巡回检测间隔会影响系统性能。 巡回检测间隔越小,则搜索越频繁,且数据更新越快。 巡回检测间隔偏高会导致交通量的周期性突发。 尽管使用偏低巡回检测间隔的总成本较高,但是随着时间的延长,其成本分布更加均匀。 如果将间隔设置为 0(零),则巡回检测速率为十秒。 |
|
|
驱动程序尝试同步口令所花费的分钟数。 请将该值设置到大小足以处理所存在的任何口令临时代办事项。 如果执行的是大批量更改,请将超时设置到大小足以处理所有的更改。 经验法则是每个口令允许一秒钟。 例如,要同步 18,000 个口令,则允许 300 分钟(18,000 个口令除以 60 秒)。 如果设置为 -1,则不限时。 尽管此设置可以处理大批量更改,但它会导致出现问题。 例如,因为没有对帐户进行关联,所以永远无法对口令进行同步。 因此,这样的口令将永远保留在系统中。 如果存在许多类似的情况,则会导致系统需要为未同步口令保留较大的库存。 必须至少将口令同步超时设置为巡回检测间隔的三倍。 |
|
|
选择《远程》可将驱动程序配置为结合远程装载程序一起使用,选择《本地》可将驱动程序配置为供本地使用。 |
|
|
仅限《远程》选项。 安装了远程装载程序服务、且针对此驱动程序运行的主机名或 IP 地址和端口号。默认端口为 8090。 仅当《驱动程序供本地/远程使用》设置为《远程》时,才显示此设置。 |
|
|
仅限《远程》选项。 远程装载程序使用驱动程序对象口令将其自身鉴定到 Identity Manager 服务器。 该口令必须与在远程装载程序上指定为驱动程序对象口令的口令相同。 仅当《驱动程序供本地/远程使用》设置为《远程》时,才显示此设置。 |
|
|
仅限《远程》选项。 远程装载程序口令用于控制对远程装载程序实例的访问。 该口令必须与在远程装载程序上指定为远程装载程序口令的口令相同。 仅当《驱动程序供本地/远程使用》设置为《远程》时,才显示此设置。 |
|
|
仅限《远程》选项。 如果单击《确定》,驱动程序向导将使用驱动程序的策略配置继续。 |
|
|
在 Identity Vault 中指定需要同步的基本树枝。 在订购者匹配策略中使用该树枝来限制同步的 Identity Vault 对象;将对象添加到 Identity Vault 时,发布者布局策略中将使用该树枝。 默认情况下,会将新用户放在该树枝中。 使用点分隔格式。例如: users.myorg 如果树枝不存在,则必须在尝试将用户添加到该树枝之前创建该树枝,并确保它与 Active Directory 基本树枝关联。 |
|
|
选择《镜像》可将对象分层次放在基本树枝中。 选择《平面》可将对象严格地放在基本树枝中。 该选择将构建默认的发布者布局策略。 NOTE:如果选择《镜像》,驱动程序将假定 eDirectory 数据库结构与 eDirectory 基本树枝中的 Active Directory 内的数据库结构相同。 如果结构不相同,则不能正确放置对象。 在 eDirectory 中的 Active Directory 内创建相同的结构,或者在迁移用户对象之前迁移 eDirectory 树枝。 |
|
|
在 Active Directory 中以 LDAP 格式指定基本树枝。 默认情况下,会将新用户放在该树枝中。例如: CN=Users,DC=MyDomain,DC=com 如果目标树枝不存在,则必须在尝试将用户添加到该树枝之前创建该树枝,并确保它与 eDirectory 基本树枝关联。 如果创建或使用的树枝不是 Active Directory 中的 Users,则该树枝是 OU 而不是 CN。例如: OU=Sales,OU=South,DC=MyDomain,DC=com |
|
|
选择《镜像》可将对象分层次放在基本树枝中。 选择《平面》可将对象严格地放在基本树枝中。 该选择将构建默认的订购者布局策略。 NOTE:如果选择《镜像》,驱动程序将假定 Active Directory 数据库结构与 Active Directory 基本树枝中的 eDirectory 内的数据库结构相同。 如果结构不相同,则不能正确放置对象。 在 Active Directory 中的 eDirectory 内创建相同的结构,或者在迁移用户对象之前迁移 Active Directory 树枝。 |
|
|
《配置数据流》可以建立能够控制待同步类和特性的初始驱动程序过滤器。 此选项的用途在于配置驱动程序,以便以最佳方式表示常规的数据流策略。 导入后,可以更改该选项以反映特定的需求。 选择《双向》可设置类和特性,以便同步《发布者》和《订购者》通道。 Identity Vault 和 Active Directory 发生的更改会同时在两端进行反映。 如果希望两端都成为授权的数据源,请使用此选项。 选择《AD 到 Vault》可设置类和特性,以便只同步《发布者》通道。 Active Directory 发生的更改将在 Identity Vault 中反映,但 Identity Vault 发生的更改将被忽略。 如果希望 Active Directory 成为授权的数据源,请使用此选项。 选择《Vault 到 AD》可设置类和特性,以便只同步《订购者》通道。 Identity Vault 发生的更改将在 Active Directory 中反映,但 Active Directory 发生的更改将被忽略。 如果希望 Vault 成为授权的数据源,请使用此选项。 WARNING:《删除》、《移动》和《重命名》事件与过滤器无关。 无论选择哪个选项,驱动程序都会处理这些事件。 如果不需要同步这些事件,则必须更改驱动程序的默认配置。 可以使用 Identity Manager 3.0 附带的预定义策略之一将《删除》事件更改为《去除关联》事件。 有关详细信息,请参见《Policy Builder and Driver Customization Guide》(策略构建器和驱动程序自定义)中的《Command Transformation - Publisher Delete to Disable》(命令转换 - 发布者删除 - 禁用)。 要阻止《移动》和《重命名》事件,必须自定义驱动程序。 |
|
|
将配置口令同步策略,以便在口令更新失败时,向关联的用户发送电子邮件通知。 可以选择将通知电子邮件的拷贝发送给另一用户(例如安全管理员)。 如果需要发送拷贝,请输入或通过浏览找到该用户的 DN。 否则,请将该字段留空。 |
|
|
可配置驱动程序,以使用权利来管理 Active Directory 中的用户帐户和组成员资格,以及供应 Exchange 邮箱。 使用权利时,驱动程序将结合外部服务(例如 Identity Manager 用户应用程序或基于职能的权利)一起工作,以控制供应(或者在 Active Directory 中取消供应)这些功能时的条件。有关详细信息,请参见权利。 如果计划使用这些外部服务之一来控制对 Active Directory 的供应,请选择《是》。 如果不打算使用 Identity Manager 用户应用程序或供应 Exchange 邮箱,请选择《否》。 |
|
|
仅配置《要素》选项。 Active Directory 中的用户可以由同步控制,也可以使用具有工作流程服务的权利或基于职能的权利进行控制。 选择《权利》,则将 Active Directory 中的帐户启用控制权限提供给 Identity Vault 中的权利。 选择《Implement in policy(在策略中实现)》,则使用驱动程序中的策略而不是使用权利。 |
|
|
仅配置《要素》选项。 Exchange 供应可以由驱动程序策略和权利处理,也可以被完全跳过。 可以将 Exchange 中的邮箱指派给用户(对用户启用了邮箱),也可以为该用户提供 Identity Vault 记录中储存的外部邮箱有关的信息(对用户启用了邮件)。 如果使用驱动程序策略,是对用户启用邮箱还是启用邮件的决策,以及帐户驻留的 Exchange 讯息数据库,将完全在策略中受到控制。 如果使用《权利》,则由外部服务(例如工作流程服务或基于职能的权利)做出这些决策,驱动程序策略只是应用这些决策。 如果选择《在策略中实现》 ,则使用驱动程序中的策略而不是使用权利来指派 Exchange 邮箱。 如果选择《无》,则默认的配置不创建 Exchange 邮箱,但确实会将 Identity Vault Internet E-Mail Address 与 Active Directory mail 特性同步。 |
|
|
仅配置《要素》选项。 可通过同步成员资格列表或使用权利来控制 Active Directory 中的组成员资格。 选择《权利》,则使用工作流程服务或基于职能的权利来指派组成员资格。 选择《同步》,则使用策略来同步组成员资格列表。 选择《无》,则不同步组成员资格信息。 |
|
|
仅限《Exchange 策略》选项。 可通过调用 Microsoft Exchange 管理系统控制 Exchange 邮箱,而不是通过常规的特性同步对其进行控制。 如果启用此功能,驱动程序 Shim 将截取对 Active Directory homeMDB 特性所做的更改,并调用 CDOEXM(Exchange 管理的协作数据对象)子系统。 在此处选择的值将记录在驱动程序 Shim 配置中。 选择《是》,则同步 Exchange 邮箱。 选择《否》,则不同步 Exchange 邮箱。 |
|
|
仅限《Exchange 策略》选项。 如果启用此功能,驱动程序 Shim 将截取对 Active Directory homeMDB 特性所做的修改,并调用 CDOEXM,以便将邮箱移到新的讯息数据储存中。 选择《是》,则移动 Exchange 邮箱。 选择《否》,则不移动 Exchange 邮箱。 |
|
|
仅限《Exchange 策略》选项。 如果启用此功能,驱动程序 Shim 将截取对 Active Directory homeMDB 特性的去除操作,并调用 CDOEXM 以删除邮箱。 选择《是》,则允许删除 Exchange 邮箱。 选择《否》,则不允许删除 Exchange 邮箱。 |
|
|
仅限《Exchange 策略》>《在策略中实现》选项。 输入默认的 Exchange 讯息数据库 (MDB)。例如: [CN=Mailbox Store (CONTROLLER),CN=First Storage Group,CN=InformationStore,CN=CONTROLLER,CN=Servers,CN=First Administrative Group,CN=Administrative Groups,CN=Domain,CN=Microsoft Exchange,CN=Services,CN=Configuration,DC=Domain,DC=com] 导入完成后,可以更新驱动程序以管理其它 MDB。 |
|
|
仅限《Exchange 策略》选项。 用于在权利去除了用户帐户时选择要执行的操作。
|
|
> |
驱动程序会将 Identity Vault Full Name 特性映射到 Active Directory 对象名,并将 Active Directory Pre-windows 2000 登录名映射到 Identity Vault 用户名。 可以接受整个策略,也可以手动选择一部分策略。 如果策略不符合需求,则可以在导入完成后,通过编辑订购者和发布者命令转换策略中的 NameMap 策略来修改策略。 选择《接受》,则使用整个策略。 选择《手动》,则允许您使用策略的一部分。 |
|
|
仅限《名称映射策略选择》>《手动》选项。 选择《是》,则允许驱动程序将 Identity Vault Full Name 特性与 Active Directory 对象名和显示名称保持同步。 选择《否》,则 Identity Vault Full Name 特性不会与 Active Directory 对象名和显示名称保持同步。 在 Active Directory 中使用 Microsoft 管理控制台的《用户》和《计算机》咬接模块创建用户帐户时,此策略将十分有用。 |
|
|
仅限《名称映射策略选择》>《手动》选项。 选择《是》,则允许驱动程序将 Identity Vault 对象名与 Active Directory Windows 2000 以前版本的登录名(又称《NT 登录名》和《sAMAccountName》)保持同步。 选择《否》,则不会将 Identity Vault 对象名与 Active Directory Windows 2000 以前版本的登录名保持同步。 |
|
|
仅限《名称映射策略选择》>《手动》选项。 |
|
|
用于选择一种管理 Active Directory Windows 2000 登录名(又称《userPrincipalName》)的方法。userPrincipalName 采用电子邮件地址的格式(类似于 usere@domain.com)。尽管 Shim 可以将任何值放入 userPrincipalName,但是,除非将域配置为接受与名称一起使用的域名,否则 Shim 作为一个登录名没有作用。 选择《Follow Active Directory e-mail address(遵循 Active Directory 电子邮件地址)》,则将 userPrincipalName 设置为 Active Directory 邮件特性值。 如果希望将用户的电子邮件地址用于鉴定,并且 Active Directory 为电子邮件地址授权,则此选项十分有用。 选择《Follow Identity Vault e-mail address(遵循 Identity Vault 电子邮件地址)》,则将 userPrincipalName 设置为 Identity Vault 电子邮件地址特性值。 如果希望将用户的电子邮件地址用于鉴定,并且 Identity Vault 为电子邮件地址授权,则此选项十分有用。 如果需要根据用户登录名以及策略中定义的硬编码字符串生成 userPrincipalName,则可以使用《Follow Identity Vault name(遵循 Identity Vault 名称)》。 如果不需要控制 userPrincipalName,或者需要实现自己的策略,则可以使用《无》。 |