Comportement de IcbLdapSync.exe
Le fichier « IcbLdapSync.exe » sert à synchroniser les serveurs IBM®, Security Directory Server et Microsoft™ Windows™, ainsi que Active Directory.
Synchronisation IBM Security Directory Server V6.4
Le processus IcbLdapSync.exe s'exécute dans deux états. VerifyDans un premier temps, le système copie tous les utilisateurs et groupes depuis ISDS vers le répertoire -SCIM. Cet état ne s'exécute qu'une fois. VerifyLa deuxième étape consiste à surveiller le serveur ISDS afin de détecter les modifications apportées aux utilisateurs et aux groupes, puis à répercuter ces modifications dans le répertoire -SCIM.- Premier état
- Si le fichier cookie.bin n'est pas présent, le premier état s'exécute une seule fois. Cet
état effectue la synchronisation initiale de tous les utilisateurs et groupes correspondants dans Cloud
Directory.Remarque : une fois la première phase terminée, un événement « Information » est généré, tel queThe LDAP Sync server has completed its first pass of synchronization.Vous ne devez arrêter ce processus que lorsque ce message est généré. VerifySinon, la réplication depuis ISDS vers le répertoire _SCIM risque d'être incomplète.
- Le second état est l'état stabilisé qui s'exécute périodiquement.
- À chaque exécution, le programme recherche les nouvelles entrées ISDS
changelogajoutées depuis la dernière exécution et applique les modifications au répertoire Verify-SCIM. La recherche LDAP est scindée en plusieurs recherches LDAP plus petites à l'aide du contrôle de pagination LDAP.VerifyVerifyAfin d'assurer la synchronisation des entrées ISDS avec leurs entrées -SCIM correspondantes, l'attribut utilisateur -SCIM « “externalId” » et l'attribut de groupe « description » sont définis sur la valeur DN de l'entrée ISDS correspondante. VerifyÉtant donné que l'attribut « “externalId” » est sensible à la casse et que l'attribut « DN » de l' LDAP e ne l'est pas, le DN est converti en minuscules avant d'être stocké ou recherché dans le répertoire -SCIM. Ce pliage en minuscule est effectué sur les caractères ASCII ‘A’ → ‘Z’ uniquement à l'aide du mappage en anglais. Ce pliage peut constituer un problème pour l'environnement local turc. Les noms distinctifs qui sont renvoyés sont en UTF-8 et peuvent contenir des caractères provenant de différents environnements locaux. Au lieu de tenter de déterminer l'environnement local du nom distinctif, il est admis que les caractères non ASCII ne présentent pas de différences de casse entre chaque référence de nom distinctif et une entrée.
Synchronisation d' Microsoft Windows Server Active Directory
La première fois que le programmeIcbLdapSync.exe est exécuté, le fichier cookie.bin n'existe pas. Le contrôle DirSync d'Active Directory renvoie toutes les entrées correspondantes de l'annuaire. Si de nombreux utilisateurs et groupes existent, la première synchronisation peut prendre un certain temps. Le contrôle DirSync renvoie un cookie pour les recherches Active Directory DirSync suivantes, ce qui renvoie les modifications d'entrée depuis la recherche précédente uniquement.Ligne de commande
Tous les arguments IcbLdapSync.exe sont facultatifs.
- La version du produit s'affiche dans la syntaxe.
- L'option
-versionaffiche la version du produit. - L'option
-run-changelog changenumber [instance]extrait l'entréechangelogspécifiée parchangenumber, la traite, puis prend fin. Cette option ne peut être utilisée que si le serveur LDAP est ISDS et si la première passe est terminée. - L'option
-utctimestampgénère l'heure actuelle en tant que chaîne d'horodatage UTC LDAP.
Version: v1.0.7.0
Usage: one of the following:
-version display product version.
-install [instance] install the service.
-remove [instance] remove the service.
-run [instance] run on the command line not as a service.
-clean [instance] remove matching entries in CI.
-run-changelog changenumber [instance] run on the command line for just the one changelog entry
-utctimestamp Output the current time as a UTC timestamp
-obf secret to generated the obfuscated value of secret.
[instance] run as a service, do not use on command line.
-?, -help to output this help.
Si l'argument {instance} est spécifié, il permet l'exécution d'instances de IcbLdapSync.exe plus indépendantes sur le même hôte. Lorsque le produit est installé, il appelle
IcbLdapSync.exe -install pour créer la configuration initiale.
Plusieurs instances
Plusieurs instances du processus IcbLdapSync.exe peuvent être configurées et s'exécuter sur le même serveur. Cette fonctionnalité est utile pour répliquer plusieurs registres, tels que plusieurs domaines de type Active Directory, dans un Verify annuaire ou dans plusieurs Verify annuaires. Pour configurer une nouvelle instance, appelez la commande suivante :
IcbLdapSync.exe -install {instance}
Où {instance} est remplacé par le nom à affecter à la nouvelle instance. Cette commande permet également de configurer un service Windows pour la nouvelle instance. Les fichiers propres à l'instance sont placés sous un répertoire portant le même nom que l'instance sous le répertoire d'installation initial. Ce répertoire comprend le fichier de configuration JSON propre à l'instance. Le nom « {instance} » doit être composé de caractères autorisés par le système de fichiers pour les noms de dossiers et également autorisés dans le nom d'un service Windows.