Avant de commencer
- Heure
- La première synchronisation peut prendre un certain temps. Par exemple, un Active Directory serveur comptant 500 000 utilisateurs et groupes peut prendre deux jours. Pendant ce temps, toutes les modifications apportées au serveur d'annuaire sont enregistrées par le Active Directory serveur et appliquées après la synchronisation initiale. Au final, le Verify répertoire est mis à jour en temps quasi réel.
- Mémoire de processus
- VerifyLors de la première passe, le mappage entre Active Directory les identifiants d'utilisateur et de groupe et les identifiants d'utilisateur et de groupe SCIM correspondants est mis en cache. Ce mappage nécessite 512 octets par utilisateur, par conséquent, avec 500 000 utilisateurs, l'utilisation de la mémoire est augmentée de 244 Mo.
- Stockage de système de fichiers temporaire
- Pour l'option « IBM® » ( Security Directory Server ), l'application IcbLdapSync.exe extrait une copie complète du répertoire (seuls les attributs pertinents sont copiés) dans un fichier local. Par exemple, un annuaire contenant 500 000 utilisateurs et groupes peut nécessiter 275 Mo d'espace disque local temporaire. Ce fichier local est crypté.
Remarque : pour exécuter ce programme, vous devez disposer des droits d'administrateur.
Procédure
- Recherchez et téléchargez la dernière IBM Verify version de l'application Bridge for Directory Sync sur App Exchange.
Cette application comprend un .zip fichier contenant le programme d'installation exécutable et un README.txt fichier répertoriant les modifications apportées à IBM Verify Bridge for Directory Sync.
- Rendez-vous sur https://exchange.xforce.ibmcloud.com/hub.
- Connectez-vous à App Exchange.
- Recherchez IBM Security Bridge.
- Sélectionnez « IBM » (Synchronisation des répertoires ) et « Security Verify Bridge » (Pont de synchronisation des répertoires).
- Téléchargez l'application.
- Décompressez le IBMSecurityVerifybridgeforDirectorySync_version.zip fichier sur le système Windows de destination.
Vous devez installer le package de redistribuables 64 bits de Windows Visual Studio 2017 avant d'installer ce produit. Ce produit ne peut pas fonctionner sans ce package. S'il n'est pas déjà installé, il est installé lorsque vous exécutez le fichier setup_dirsync.exe.
- Lancer setup_dirsync.exe.
- setup_dirsync.exeDouble-cliquez dessus.
- Sélectionnez une langue.
- Cliquez sur Installer.
setup_dirsync.exeSi le composant redistribuable 64 bits de Windows Visual Studio 2017 a été installé par l'assistant, vous devrez peut-être redémarrer votre ordinateur et relancer l'opération.
- Dans l'assistant « InstallShield », cliquez sur Suivant.
- Acceptez les conditions générales, puis cliquez sur Suivant.
- Sélectionnez le répertoire d'installation, puis cliquez sur Suivant.
- Cliquez sur Installer.
- Cliquez sur Terminer.
- Installez-le IcbLdapSync.json dans le répertoire d'installation.
- Si vous effectuez une synchronisation à partir d'ISDS LDAP, copiez IcbLdapSync.json.isds-sample par dessus le fichier IcbLdapSync.json en cours pour fournir un point de départ.
- Pour Active Directory, copiez le fichier IcbLdapSync.json.ad-sample dans le fichier
IcbLdapSync.json pour fournir un point de départ approprié pour la synchronisation.
Remarque : avant d'apporter des modifications au IcbLdapSync.json fichier et de lancer une synchronisation de répertoires, assurez-vous de bien connaître et de vérifier les attributs et les valeurs qui seront synchronisés vers Verify.
- Configurez les paramètres de connexion LDAP de votre serveur ISDS ou AD sous
“cloud-bridge” -”ldap”.Si vous utilisez une connexion TLS au serveur LDAP, assurez-vous que les certificats de signature du serveur LDAP sont présents dans le magasin de certificats Windows sous . Si votre serveur LDAP utilise un certificat qui n'est pas signé par une autorité de certification connue, utilisez la commande mmc avec le composant logiciel enfichable "certificate".
- Configurez les Verify paramètres de connexion au serveur dans
ibm-auth-api.
- Modifiez les autres valeurs selon
ldap-search-filter vos besoins.L'exemple de filtre AD ignore tous les utilisateurs et groupes pour lesquels l'attribut
isCriticalSystemObject est défini. Ces utilisateurs et groupes sont généralement les comptes d'ordinateur, les groupes de systèmes, les comptes invités et les comptes d'administrateur.
L'exemple de filtre ISDS recherche les utilisateurs dotés de la classe d'objet person et les groupes dotés de la classe d'objet groupOfUniqueNames.
- Ajoutez un mécanisme de masquage aux secrets et mots de passe du IcbLdapSync.json fichier de configuration.
En tant que pratique de sécurité générale, ne placez pas des mots de passe et des secrets client en clair dans le fichier de configuration. Utilisez l'outil de brouillage IBM pour rendre illisibles les mots de passe et les secrets.
Par exemple :
C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU
C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
Ajoutez la valeur générée dans le fichier IcbLdapSync.json.
- Lancez manuellement le service Windows.
Le IBM Verify Bridge for Directory Sync service exécute le IcbLdapSync.exe processus. Une fois que le service fonctionne correctement, vous pouvez le modifier pour qu'il démarre automatiquement. La première exécution peut prendre un certain temps en fonction du nombre d'utilisateurs et de groupes en cours de synchronisation.