Verhalten von IcbLdapSync.exe

Online bearbeiten

Die Datei „ IcbLdapSync.exe“ wird zur Synchronisierung von IBM®, Security Directory Server und Microsoft™ Windows™ Server Active Directory verwendet.

Synchronisieren IBM Security Directory Server V6.4

Der Prozess IcbLdapSync.exe wird in zwei Status ausgeführt. VerifyIm ersten Schritt werden alle Benutzer und Gruppen aus ISDS in das Verzeichnis -SCIM kopiert. Die Ausführung in diesem Status erfolgt nur ein einziges Mal. Der zweite Schritt besteht darin, den ISDS-Server auf Änderungen an Benutzern und Gruppen zu überwachen und diese Änderungen in das Verify-SCIM-Verzeichnis zu replizieren.
Der erste Status
Wenn die Datei cookie.bin nicht vorhanden ist, wird der erste Status nur einmal ausgeführt. Dieser Status führt die Erstsynchronisation aller übereinstimmenden Benutzer und Gruppen in Cloud Directory aus.
Hinweis: Sobald der erste Zustand abgeschlossen ist, wird ein „Information“-Ereignis generiert, etwa wie folgt:The LDAP Sync server has completed its first pass of synchronization.Stoppen Sie den Prozess nicht vor der Generierung dieser Nachricht! VerifyAndernfalls könnte die Replikation von ISDS in das Verzeichnis _SCIM unvollständig sein.
Der zweite Status ist der stabile Status, der regelmäßig ausgeführt wird.
Bei jedem Durchlauf sucht der Dienst nach neuen ISDS-Einträgen changelog , die seit dem letzten Durchlauf hinzugefügt wurden, und übernimmt die Änderungen im Verzeichnis Verify-SCIM. Die LDAP-Suche wird mithilfe der LDAP-Pagingsteuerung in kleinere LDAP-Suchen aufgeteilt.

Um die ISDS-Einträge mit den entsprechenden Verify-SCIM-Einträgen synchron zu halten, werden das Verify-SCIM-Benutzerattribut „ “externalId” “ und das Gruppenattribut „description“ auf den DN-Wert des entsprechenden ISDS-Eintrags gesetzt. Da beim Attribut „ “externalId” “ die Groß-/Kleinschreibung beachtet wird, beim Attribut „DN“ von „ LDAP “ jedoch nicht, wird der DN in Kleinbuchstaben umgewandelt, bevor er im Verify-SCIM-Verzeichnis gespeichert oder gesucht wird. Diese Umsetzung in Kleinbuchstaben für die ASCII-Zeichen 'A' → 'Z' erfolgt nur unter Verwendung der englischen Zuordnung. Diese Umsetzung kann für Ländereinstellungen für Türkisch ein Problem darstellen. Die DNs werden in UTF-8 zurückgegeben und enthalten unter Umständen Zeichen aus unterschiedlichen Ländereinstellungen. Anstatt zu versuchen, die Ländereinstellung für den DN zu bestimmen, wird angenommen, dass für Nicht-ASCII-Zeichen keine Unterschiede in der Groß-/Kleinschreibung zwischen der jeweiligen DN-Referenz und dem einen Eintrag bestehen.

Microsoft Windows -Server synchronisieren Active Directory

Wenn das Programm IcbLdapSync.exe zum ersten Mal ausgeführt wird, ist die Datei cookie.bin nicht vorhanden. DirSync von Active Directory gibt alle übereinstimmenden Einträge aus dem Verzeichnis zurück. Wenn viele Benutzer und Gruppen vorhanden sind, kann die erste Synchronisation lange dauern. DirSync gibt für nachfolgende DirSync-Suchen in Active Directory ein Cookie zurück, das nur die Eintragsänderungen zurückgibt, die seit der vorherigen Suche erfolgt sind.

Befehlszeile

Alle Argumente von IcbLdapSync.exe sind optional.

Neuerungen für diese Syntax und dieses Verhalten:
  • Die Produktversion wird in der Syntax angezeigt.
  • Mit der Option -version wird die Produktversion angezeigt.
  • changenumberDie Option -run-changelog changenumber [instance] ruft den angegebenen changelog Eintrag ab, verarbeitet ihn und beendet sich anschließend. Diese Option kann nur verwendet werden, wenn es sich bei dem LDAP-Server um ISDS handelt und der erste Durchlauf abgeschlossen ist.
  • Mit der Option -utctimestamp wird der aktuelle Zeitpunkt als LDAP-UTC-Zeitmarkenzeichenfolge ausgegeben.
Version: v1.0.7.0
Usage: one of the following:
-version             display product version.
-install [instance]  install the service.
-remove [instance]   remove the service.
-run [instance]      run on the command line not as a service.
-clean [instance]    remove matching entries in CI.
-run-changelog changenumber [instance]  run on the command line for just the one changelog entry
-utctimestamp        Output the current time as a UTC timestamp
-obf secret          to generated the obfuscated value of secret.
[instance]           run as a service, do not use on command line.
-?, -help            to output this help.

Wenn das Argument {Instanz} angegeben wird, können mehrere unabhängige Instanzen von IcbLdapSync.exe auf demselben Host ausgeführt werden. Wenn das Produkt installiert wird, wird IcbLdapSync.exe -install aufgerufen, um die Erstkonfiguration zu erstellen.

Verify

Mehrere Instanzen

Es können mehrere Instanzen des Prozesses IcbLdapSync.exe konfiguriert und auf demselben Server ausgeführt werden. Diese Funktion ist nützlich, um mehrere Verzeichnisse, wie beispielsweise mehrere „ Active Directory “-Domänen, in das Verify Verzeichnis oder in mehrere Verify Verzeichnisse zu replizieren. Um eine neue Instanz zu konfigurieren, rufen Sie den folgenden Befehl auf:

IcbLdapSync.exe -install {instance}

Dabei wird {Instanz} durch den Namen ersetzt, der der neuen Instanz zugeordnet werden soll. Mit diesem Befehl wird auch ein Windows-Dienst für die neue Instanz konfiguriert. Die instanzspezifischen Dateien werden in ein Verzeichnis gestellt, das denselben Namen wie die Instanz im Erstinstallationsverzeichnis hat. Dieses Verzeichnis enthält die instanzspezifische JSON-Konfigurationsdatei. Der Name „ {instance} “ muss aus Zeichen bestehen, die vom Dateisystem als Ordnername zugelassen sind und auch im Namen eines Windows-Dienstes zulässig sind.