Installation und Konfiguration auf dem Windows-Server

Online bearbeiten

Vorbereitende Schritte

Zeit: Die erste Synchronisation kann lange Zeit in Anspruch nehmen. Ein Active Directory -Server mit 500.000 Benutzern und Gruppen kann beispielsweise 2 Tage dauern. Während dieser Zeit werden alle Änderungen, die am Verzeichnisserver vorgenommen werden, vom Active Directory -Server kumuliert und nach der ersten Synchronisation angewendet. Schließlich wird das Verzeichnis Verify nahezu in Echtzeit aktualisiert.
Prozessspeicher: Beim ersten Arbeitsgang wird die Zuordnung von Active Directory -Benutzer-und -Gruppen-IDs zu den entsprechenden Verify-SCIM-Benutzer-und -Gruppen-IDs zwischengespeichert. Diese Zuordnung erfordert 512 Byte pro Benutzer; demzufolge erhöht sich die Speichernutzung bei 500.000 Benutzern um 244 MB.
Temporärer Dateisystemspeicher: Bei IBM® Security Directory Serverextrahiert die IcbLdapSync.exe -Anwendung eine vollständige Kopie des Verzeichnisses (nur relevante Attribute werden kopiert) in eine lokale Datei. Ein Verzeichnis mit 500.000 Benutzern und Gruppen beispielsweise kann 275 MB temporären lokalen Plattenspeicher erfordern. Diese lokale Datei ist verschlüsselt.

Hinweis: Zum Ausführen dieses Programms müssen Sie über Administratorberechtigungen verfügen.

Informationen zu dieser Task

Nach Abschluss der ersten Synchronisierung wird ein Windows™-Ereignisprotokoll erstellt, damit der Administrator weiß, dass alle Benutzer und Gruppen im VerifySCIM-Verzeichnis erstellt wurden.
Der Replikationsstatus wird in der Datei cookie.bin gespeichert. Diese Datei darf nicht gelöscht werden. Durch das Löschen dieser Datei wird eine erneute vollständige Replikation ausgelöst.
Die Standardkonfigurationsdatei fügt alle Benutzer wie folgt hinzu:
```
"realm":"cloudBridgeRealm"
"userCategory":"federated”
```
Diese Konfiguration kann wie erforderlich geändert werden. Stellen Sie sicher, dass alle Verweise auf “cloudBridgeRealm” in der Konfigurationsdatei aktualisiert werden, wenn eine Änderung vorgenommen wird.
Verwenden Sie die Option -clean , um alle synchronisierten Benutzer und Gruppen aus dem Verify-SCIM-Verzeichnis zu entfernen, während die anderen Einträge unverändert bleiben. Diese Option entfernt cookie.bin und liest alle Benutzer und Gruppen, die normalerweise synchronisiert würden, und löscht sie aus dem Verzeichnis Verify .

Vorgehensweise

Suchen Sie die neueste IBM Verify Bridge for Directory Sync-Anwendung in App Exchange und laden Sie sie herunter.
Diese Anwendung besteht aus einer .zip -Datei, die die ausführbare Installationsdatei enthält, und einer README.txt -Datei, die die Änderungen an IBM Verify Bridge for Directory Sync auflistet.
1. Gehen Sie zu https://exchange.xforce.ibmcloud.com/hub.
2. Melden Sie sich bei der App Exchange an.
3. Suchen Sie nach IBM Security Bridge.
4. Wählen Sie IBM Security Verify Bridge for Directory Syncaus.
5. Laden Sie die Anwendung herunter.
Extrahieren Sie die IBMSecurityVerifybridgeforDirectorySync_version.zip -Datei auf dem Windows-Zielsystem.
Vor der Installation dieses Produkts muss das Windows Visual Studio 2017 64-Bit-Redistributable Package installiert werden. Das Produkt kann ohne diese Installation nicht ausgeführt werden. Sofern es noch nicht installiert ist, wird es installiert, wenn die Datei setup_dirsync.exe ausgeführt wird.
Führen Sie setup_dirsync.exeaus.
1. Doppelklicken Sie auf setup_dirsync.exe.
2. Wählen Sie eine Sprache aus.
3. Klicken Sie auf Installieren.
  Wenn Windows Visual Studio 2017 64-Bit Redistributable vom Assistenten installiert wird, muss der Computer möglicherweise erneut gestartet und setup_dirsync.exeerneut ausgeführt werden.
4. Klicken Sie im InstallShield -Assistenten auf Weiter.
5. Akzeptieren Sie die Bedingungen und klicken Sie auf Next.
6. Wählen Sie das Installationsverzeichnis aus und klicken Sie auf Next.
7. Klicken Sie auf Installieren.
8. Klicken Sie auf Fertigstellen.
Richten Sie IcbLdapSync.json im Installationsverzeichnis ein.
- Wenn die Synchronisation von ISDS-LDAP erfolgt, kopieren Sie IcbLdapSync.json.isds-sample über die aktuelle Datei IcbLdapSync.json, um einen Ausgangspunkt bereitzustellen.
- Kopieren Sie für Active Directory die Datei IcbLdapSync.json.ad-sample in die Datei IcbLdapSync.json, um einen geeigneten Ausgangspunkt für die Synchronisation bereitzustellen.
Hinweis: Bevor Sie Änderungen an der Datei IcbLdapSync.json vornehmen und eine Verzeichnissynchronisation durchführen, stellen Sie sicher, dass Sie mit den Attributen und Werten, die mit Verifysynchronisiert werden sollen, vertraut sind.
1. Legen Sie Ihre ISDS-oder AD-Server-LDAP-Verbindungseinstellungen unter “cloud-bridge” -”ldap”fest.
  Wenn Sie eine TLS-Verbindung zum LDAP-Server verwenden, stellen Sie sicher, dass die Signaturzertifikate für den LDAP-Server im Windows-Zertifikatspeicher unter „Vertrauenswürdige RootCertification Stellen “ > „Computerkonto “ > „Lokaler Computer“ vorhanden sind. Wenn Ihr LDAP-Server ein Zertifikat verwendet, das nicht von einer gängigen Zertifizierungsstelle signiert wurde, verwenden Sie den Befehl mmc mit dem Zertifikat-Snap-In.
2. Definieren Sie Ihre Verify -Serververbindungseinstellungen unter ibm-auth-api.
3. Optimieren Sie andere Werte wie ldap-search-filter nach Bedarf.
  Der AD-Beispielfilter überspringt alle Benutzer und Gruppen, für die das Attribut isCriticalSystemObject festgelegt ist. Bei diesen Benutzern und Gruppen handelt es sich normalerweise um die Computer-Accounts, Systemgruppen, Gastaccounts und Administratoraccounts. Der ISDS-Beispielfilter sucht nach Benutzern mit der Objektklasse person und nach Gruppen mit der Objektklasse groupOfUniqueNames.
  Hinweis:
  - Der Prozess IcbLdapSync.exe verwendet die Active Directory-LDAP-DirSync-Steuerung. Für die Berechtigung zur Verwendung der DirSync-Steuerung muss dem Benutzeraccount, der IcbLdapSync.exe ausführt, das Recht directory get changes im Stammverzeichnis der Partition zugeordnet sein, die überwacht wird. Standardmäßig ist dieses Recht dem Administratoraccount und dem lokalen Systemaccount in Domänencontrollern zugeordnet. Der Aufrufende muss außerdem über das Recht DS-Replication-Get-Changes für erweiterten Steuerungszugriff verfügen. Weitere Informationen finden Sie unter https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control.
  - Bei ISDS muss der Account, mit dem der Zugriff erfolgt, über die Berechtigung zur Verwendung der Paging-Steuerung und die Berechtigung zum Lesen der changelog-Einträge verfügen.
  - Die folgenden Berechtigungen sind für den konfigurierten API-Client erforderlich.
    
    Manage users and standard groups
    
    Synchronize users and groups
  - Nachdem die Synchronisation gestartet wurde, ist es nicht mehr möglich, Attribute hinzuzufügen oder konfigurierte Attribute, die synchronisiert werden, zu entfernen. Das Produkt kann synchronisierte Benutzer und Gruppen nicht rückwirkend anpassen, um die Attributkonfigurationsänderung widerzuspiegeln. Stellen Sie sicher, dass alle erforderlichen Attribute vor dem ersten Aufruf konfiguriert werden.
Fügen Sie den geheimen Schlüsseln und dem Kennwort der IcbLdapSync.json -Konfigurationsdatei Verschlüsselung hinzu.
Gemäß dem allgemeinen Sicherheitsverfahren dürfen Klartextkennwörter und geheime Clientschlüssel nicht in die Konfigurationsdatei gestellt werden. Verwenden Sie das IBM Verschlüsselungstool, um Kennwörter und geheime Schlüssel zu verschlüsseln.
Beispiel:
```
C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU
```
```
C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
```
Fügen Sie der Datei IcbLdapSync.json den generierten Wert hinzu.
Starten Sie den Windows-Dienst manuell.
Der Service IBM Verify Bridge for Directory Sync führt den Prozess IcbLdapSync.exe aus. Wenn der Service ordnungsgemäß funktioniert, können Sie den automatischen Start für den Service festlegen. Die erste Ausführung kann abhängig von der Anzahl Benutzer und Gruppen, die synchronisiert werden, lange dauern.