Instalación y configuración en el servidor Windows

Editar en línea

Antes de empezar

Hora
La primera sincronización podría llevar mucho tiempo. Por ejemplo, un Active Directory servidor con 500 000 usuarios y grupos puede tardar dos días. Durante ese tiempo, el Active Directory servidor acumula todos los cambios que se realizan en el servidor de directorios y los aplica tras la sincronización inicial. Finalmente, el Verify directorio se actualiza casi en tiempo real.
Memoria de proceso
VerifyEn la primera pasada se almacena en caché la correspondencia entre Active Directory los ID de usuario y de grupo y los ID de usuario y de grupo SCIM correspondientes. Esta correlación requiere 512 bytes por usuario, de este modo 500.000 usuarios aumentará el uso de memoria en 244 MB.
Almacenamiento del sistema de archivos temporales
En el caso de IBM® Security Directory Server, la IcbLdapSync.exe aplicación extrae una copia completa del directorio (solo se copian los atributos relevantes) a un archivo local. Como ejemplo, un directorio con 500.000 usuarios y grupos podría requerir 275 MB de espacio de disco local temporal. Este archivo local está cifrado.
Nota: Para ejecutar este programa, debes tener derechos de administrador.

Acerca de esta tarea

  • VerifyUna vez completada la primera sincronización, se genera un registro de eventos de Windows™ para que el administrador sepa que se han creado todos los usuarios y grupos en el directorio -SCIM.
  • El estado de réplica se almacena en el archivo cookie.bin. No se puede suprimir este archivo. La supresión del archivo desencadena que se produzca de nuevo una réplica completa.
  • El archivo de configuración predeterminado añade todos los usuarios con:
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    Esta configuración se puede cambiar según sea necesario. Asegúrese de que todas las referencias a “cloudBridgeRealm” en el archivo de configuración se actualicen si se realiza un cambio.
  • Utiliza la -clean opción para eliminar todos los usuarios y grupos sincronizados del directorio Verify-SCIM, sin modificar el resto de entradas. Esta opción elimina cookie.bin y lee todos los usuarios y grupos que normalmente se sincronizarían, y los borra del Verify directorio.

Procedimiento

  1. Busca y descarga la última IBM Verify versión de la aplicación Bridge for Directory Sync en App Exchange.
    Esta aplicación consta de un .zip archivo que contiene el ejecutable del instalador y otro README.txt archivo en el que se detallan los cambios introducidos en IBM Verify Bridge for Directory Sync.
    1. Entra en https://exchange.xforce.ibmcloud.com/hub.
    2. Inicie sesión en App Exchange.
    3. Busque IBM Security Bridge.
    4. Selecciona « IBM » y « Security Verify » en Bridge para la sincronización de directorios.
    5. Descargue la aplicación.
  2. Descomprime el IBMSecurityVerifybridgeforDirectorySync_version.zip archivo en el sistema Windows de destino.
    Es necesario instalar el paquete redistribuible de Windows Visual Studio 2017 de 64 bits antes de instalar este producto. Este producto no puede operar sin él. Si aún no se ha instalado, se instala cuando se ejecuta el archivo setup_dirsync.exe.
  3. setup_dirsync.exeEjecutar.
    1. setup_dirsync.exeHaz doble clic.
    2. Seleccione un idioma.
    3. Haz clic en «Instalar ».
      setup_dirsync.exeSi el asistente instala el paquete redistributivo de Windows Visual Studio 2017 de 64 bits, es posible que tengas que reiniciar el ordenador y volver a ejecutar el proceso.
    4. En el asistente « InstallShield », haz clic en «Siguiente ».
    5. Acepta los términos y haz clic en «Siguiente ».
    6. Selecciona el directorio de instalación y haz clic en «Siguiente ».
    7. Haz clic en «Instalar ».
    8. Haz clic en «Finalizar ».
  4. Configurar IcbLdapSync.json en el directorio de instalación.
    • Si va a sincronizar desde ISDS LDAP, copie IcbLdapSync.json.isds-sample sobre el archivo IcbLdapSync.json actual para proporcionar un punto de inicio.
    • Para Active Directory, copie el archivo IcbLdapSync.json.ad-sample en el archivo IcbLdapSync.json para proporcionar un punto de inicio adecuado para la sincronización.
    VerifyNota: Antes de realizar cualquier cambio en el IcbLdapSync.json archivo y ejecutar una sincronización de directorios, asegúrate de conocer y revisar los atributos y valores que se van a sincronizar.
    1. Configura los parámetros de conexión de ISDS o del servidor AD en LDAP en la sección “cloud-bridge” -”ldap”.
      Si utiliza una conexión TLS con el servidor LDAP, asegúrese de que los certificados de firmante del servidor LDAP se encuentren en el almacén de certificados de Windows, en la sección «Autoridades de RootCertification de confianza » > «Cuenta de equipo » > «Equipo local ». Si el servidor LDAP utiliza un certificado que no está firmado por una entidad emisora de certificados bien conocida, utilice el mandato mmc con el complemento “certificate”.
    2. Configura los parámetros de conexión del Verify servidor en ibm-auth-api.
    3. Modifica otros valores según ldap-search-filter sea necesario.
      El filtro de AD de ejemplo pasa por alto todos los usuarios y grupos que tienen el conjunto de atributos isCriticalSystemObject. Estos usuarios y grupos suelen ser las cuentas del sistema, los grupos del sistema, las cuentas de invitado y las cuentas de administrador. El filtro de ISDS de ejemplo busca los usuarios con la clase de objeto person y los grupos con la clase de objeto groupOfUniqueNames.
      Nota:
      • El proceso IcbLdapSync.exe utiliza el control DirSync de Active Directory LDAP. Para tener permiso para utilizar el control DirSync, la cuenta de usuario que ejecute IcbLdapSync.exe debe tener el derecho directory get changes asignado en la raíz de la partición que se está supervisando. De forma predeterminada, este derecho se asigna al administrador y a las cuentas LocalSystem en los controladores de dominio. El interlocutor debe tener también el derecho de acceso de control ampliado DS-Replication-Get-Changes. Para obtener más información, consulte https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control.

      • Para ISDS, la cuenta que se utiliza para acceder debe tener permiso para utilizar el control Paging y permiso para leer las entradas changelog.

      • El cliente de API configurado requiere los permisos siguientes.
        • Manage users and standard groups
        • Synchronize users and groups
      • Después de que comienza la sincronización, no puede añadir ni eliminar atributos de los atributos sincronizados que se están sincronizando. El producto no puede ajustar de forma retroactiva los usuarios y los grupos sincronizados para que coincidan con el cambio de configuración de atributos. Asegúrese de que todos los atributos que necesita estén configurados antes de la primera invocación.
  5. Aplica ofuscación a los IcbLdapSync.json secretos y la contraseña del archivo de configuración.
    Como práctica de seguridad general, no coloque contraseñas de texto ni secretos de cliente sin cifrar en el archivo de configuración. Utilice la herramienta de ofuscación de IBM para ocultar las contraseñas y los secretos.
    Por ejemplo:
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    Añada el valor generado al archivo IcbLdapSync.json.
  6. Inicie manualmente el servicio de Windows.
    El IBM Verify Bridge for Directory Sync servicio ejecuta el IcbLdapSync.exe proceso. Después de que el servicio opera correctamente, puede cambiar el servicio para que se inicie automáticamente. La primera ejecución puede llevar mucho tiempo en función de cuántos usuarios y grupos se estén sincronizando.