Installation und Konfiguration auf dem Windows-Server

Online bearbeiten

Vorbereitende Schritte

Zeit
Die erste Synchronisation kann lange Zeit in Anspruch nehmen. Beispielsweise kann die Verarbeitung eines Active Directory Servers mit 500.000 Benutzern und Gruppen zwei Tage dauern. Während dieser Zeit werden alle Änderungen, die am Verzeichnisserver vorgenommen werden, vom Active Directory Server gesammelt und nach der ersten Synchronisierung übernommen. Schließlich wird das Verify Verzeichnis nahezu in Echtzeit aktualisiert.
Prozessspeicher
Beim ersten Durchlauf wird die Zuordnung von Active Directory Benutzer- und Gruppen-IDs zu den entsprechenden VerifySCIM-Benutzer- und Gruppen-IDs zwischengespeichert. Diese Zuordnung erfordert 512 Byte pro Benutzer; demzufolge erhöht sich die Speichernutzung bei 500.000 Benutzern um 244 MB.
Temporärer Dateisystemspeicher
Bei der Option „ IBM® “ ( Security Directory Server ) extrahiert die IcbLdapSync.exe Anwendung eine vollständige Kopie des Verzeichnisses (es werden nur relevante Attribute kopiert) in eine lokale Datei. Ein Verzeichnis mit 500.000 Benutzern und Gruppen beispielsweise kann 275 MB temporären lokalen Plattenspeicher erfordern. Diese lokale Datei ist verschlüsselt.
Hinweis: Um dieses Programm auszuführen, benötigen Sie Administratorrechte.

Informationen zu dieser Task

  • Nach Abschluss der ersten Synchronisierung wird ein Windows™-Ereignisprotokoll erstellt, damit der Administrator weiß, dass alle Benutzer und Gruppen im Verzeichnis Verify„-SCIM“ angelegt wurden.
  • Der Replikationsstatus wird in der Datei cookie.bin gespeichert. Diese Datei darf nicht gelöscht werden. Durch das Löschen dieser Datei wird eine erneute vollständige Replikation ausgelöst.
  • Die Standardkonfigurationsdatei fügt alle Benutzer wie folgt hinzu:
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    Diese Konfiguration kann wie erforderlich geändert werden. Stellen Sie sicher, dass alle Verweise auf “cloudBridgeRealm” in der Konfigurationsdatei aktualisiert werden, wenn eine Änderung vorgenommen wird.
  • VerifyVerwenden Sie die -clean Option, um alle synchronisierten Benutzer und Gruppen aus dem Verzeichnis -SCIM zu entfernen, während die übrigen Einträge unverändert bleiben. Diese Option entfernt cookie.bin alle Benutzer und Gruppen, die normalerweise synchronisiert würden, und löscht sie aus dem Verify Verzeichnis.

Vorgehensweise

  1. Suchen Sie die neueste IBM Verify Version der Anwendung „Bridge for Directory Sync“ im App Exchange und laden Sie sie herunter.
    Diese Anwendung besteht aus einer .zip Datei, die die ausführbare Installationsdatei enthält, sowie einer README.txt Datei, in der die Änderungen an IBM Verify Bridge for Directory Sync aufgeführt sind.
    1. Gehen Sie auf https://exchange.xforce.ibmcloud.com/hub.
    2. Melden Sie sich bei der App Exchange an.
    3. Suchen Sie nach IBM Security Bridge.
    4. W ählen Sie „ IBM “ und „ Security Verify “ für die Verzeichnissynchronisierung aus.
    5. Laden Sie die Anwendung herunter.
  2. Entpacken Sie die IBMSecurityVerifybridgeforDirectorySync_version.zip Datei auf dem Ziel-Windows-System.
    Vor der Installation dieses Produkts muss das 64-Bit-Redistributable-Paket für Windows Visual Studio 2017 installiert sein. Das Produkt kann ohne diese Installation nicht ausgeführt werden. Sofern es noch nicht installiert ist, wird es installiert, wenn die Datei setup_dirsync.exe ausgeführt wird.
  3. setup_dirsync.exeAusführen.
    1. Doppelklicken Sie auf setup_dirsync.exe.
    2. Wählen Sie eine Sprache aus.
    3. Klicken Sie auf „Installieren “.
      setup_dirsync.exeWenn das Windows Visual Studio 2017 64-Bit-Redistributable vom Assistenten installiert wurde, müssen Sie möglicherweise Ihren Computer neu starten und den Vorgang erneut ausführen.
    4. Klicken Sie im Assistenten „ InstallShield “ auf „Weiter “.
    5. Akzeptieren Sie die Bedingungen und klicken Sie auf „Weiter “.
    6. Wählen Sie das Installationsverzeichnis aus und klicken Sie auf „Weiter “.
    7. Klicken Sie auf „Installieren “.
    8. Klicken Sie auf „Fertig stellen “.
  4. IcbLdapSync.json Im Installationsverzeichnis einrichten.
    • Wenn die Synchronisation von ISDS-LDAP erfolgt, kopieren Sie IcbLdapSync.json.isds-sample über die aktuelle Datei IcbLdapSync.json, um einen Ausgangspunkt bereitzustellen.
    • Kopieren Sie für Active Directory die Datei IcbLdapSync.json.ad-sample in die Datei IcbLdapSync.json, um einen geeigneten Ausgangspunkt für die Synchronisation bereitzustellen.
    VerifyHinweis: Bevor Sie Änderungen an der IcbLdapSync.json Datei vornehmen und eine Verzeichnissynchronisierung durchführen, sollten Sie sich mit den Attributen und Werten, die synchronisiert werden sollen, vertraut machen und diese überprüfen.
    1. “cloud-bridge” -”ldap”Nimm die Einstellungen für die ISDS- oder AD-Server LDAP -Verbindung unter […] vor.
      Wenn Sie eine TLS Verbindung zum LDAP -Server verwenden, stellen Sie sicher, dass die Signaturzertifikate für den LDAP -Server im Windows-Zertifikatspeicher unter Vertrauenswürdige RootCertification > Computerkonto > Lokaler Computer vorhanden sind. Wenn Ihr LDAP-Server ein Zertifikat verwendet, das nicht von einer gängigen Zertifizierungsstelle signiert wurde, verwenden Sie den Befehl mmc mit dem Zertifikat-Snap-In.
    2. ibm-auth-apiNehmen Sie Ihre Verify Server-Verbindungseinstellungen unter […] vor.
    3. Passen Sie andere Werte nach ldap-search-filter Bedarf an.
      Der AD-Beispielfilter überspringt alle Benutzer und Gruppen, für die das Attribut isCriticalSystemObject festgelegt ist. Bei diesen Benutzern und Gruppen handelt es sich normalerweise um die Computer-Accounts, Systemgruppen, Gastaccounts und Administratoraccounts. Der ISDS-Beispielfilter sucht nach Benutzern mit der Objektklasse person und nach Gruppen mit der Objektklasse groupOfUniqueNames.
      Hinweis:
      • Der Prozess IcbLdapSync.exe verwendet die Active Directory-LDAP-DirSync-Steuerung. Für die Berechtigung zur Verwendung der DirSync-Steuerung muss dem Benutzeraccount, der IcbLdapSync.exe ausführt, das Recht directory get changes im Stammverzeichnis der Partition zugeordnet sein, die überwacht wird. Standardmäßig ist dieses Recht dem Administratoraccount und dem lokalen Systemaccount in Domänencontrollern zugeordnet. Der Aufrufende muss außerdem über das Recht DS-Replication-Get-Changes für erweiterten Steuerungszugriff verfügen. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control.

      • Bei ISDS muss der Account, mit dem der Zugriff erfolgt, über die Berechtigung zur Verwendung der Paging-Steuerung und die Berechtigung zum Lesen der changelog-Einträge verfügen.

      • Die folgenden Berechtigungen sind für den konfigurierten API-Client erforderlich.
        • Manage users and standard groups
        • Synchronize users and groups
      • Nachdem die Synchronisation gestartet wurde, ist es nicht mehr möglich, Attribute hinzuzufügen oder konfigurierte Attribute, die synchronisiert werden, zu entfernen. Das Produkt kann synchronisierte Benutzer und Gruppen nicht rückwirkend anpassen, um die Attributkonfigurationsänderung widerzuspiegeln. Stellen Sie sicher, dass alle erforderlichen Attribute vor dem ersten Aufruf konfiguriert werden.
  5. Füge Verschleierungsmaßnahmen für die Geheimnisse und Passwörter in der IcbLdapSync.json Konfigurationsdatei hinzu.
    Gemäß dem allgemeinen Sicherheitsverfahren dürfen Klartextkennwörter und geheime Clientschlüssel nicht in die Konfigurationsdatei gestellt werden. Verwenden Sie das IBM Verschlüsselungstool, um Kennwörter und geheime Schlüssel zu verschlüsseln.
    Beispiel:
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    Fügen Sie der Datei IcbLdapSync.json den generierten Wert hinzu.
  6. Starten Sie den Windows-Dienst manuell.
    Der IBM Verify Bridge for Directory Sync Dienst führt den IcbLdapSync.exe Prozess aus. Wenn der Service ordnungsgemäß funktioniert, können Sie den automatischen Start für den Service festlegen. Die erste Ausführung kann abhängig von der Anzahl Benutzer und Gruppen, die synchronisiert werden, lange dauern.