Installation et configuration sur le serveur Windows

Avant de commencer

Heure
La première synchronisation peut prendre un certain temps. Par exemple, un serveur Active Directory avec 500 000 utilisateurs et groupes peut prendre 2 jours. Pendant ce temps, toutes les modifications apportées au serveur d'annuaire sont accumulées par le serveur Active Directory et sont appliquées après la synchronisation initiale. Finalement, le répertoire Verify est mis à jour quasiment en temps réel.
Mémoire de processus
Le passage initial met en cache le mappage des ID utilisateur et groupe Active Directory vers les ID utilisateur et groupe Verify-SCIM correspondants. Ce mappage nécessite 512 octets par utilisateur, par conséquent, avec 500 000 utilisateurs, l'utilisation de la mémoire est augmentée de 244 Mo.
Stockage de système de fichiers temporaire
Pour IBM® Security Directory Server, l'application IcbLdapSync.exe extrait une copie complète du répertoire (seuls les attributs pertinents sont copiés) dans un fichier local. Par exemple, un annuaire contenant 500 000 utilisateurs et groupes peut nécessiter 275 Mo d'espace disque local temporaire. Ce fichier local est chiffré.
Remarque: pour exécuter ce programme, vous devez disposer des privilèges d'administrateur.

A propos de cette tâche

  • Une fois la première synchronisation terminée, un journal des événements Windows est généré afin que l'administrateur sache que tous les utilisateurs et groupes ont été créés dans l'annuaire Verify-SCIM.
  • L'état de réplication est stocké dans le fichier cookie.bin. Ce fichier ne doit pas être supprimé. La suppression de ce fichier déclenche une nouvelle réplication complète.
  • Le fichier de configuration par défaut ajoute tous les utilisateurs avec :
    "realm":"cloudBridgeRealm"
"userCategory":"federated”
    Cette configuration peut être modifiée si besoin. Assurez-vous que toutes les références à “cloudBridgeRealm” dans le fichier de configuration sont mises à jour si une modification est effectuée.
  • Utilisez l'option -clean pour supprimer tous les utilisateurs et groupes synchronisés de l'annuaire Verify-SCIM, tout en laissant les autres entrées intactes. Cette option supprime cookie.bin et lit tous les utilisateurs et groupes qui seraient normalement synchronisés et les supprime de l'annuaire Verify .

Procédure

  1. Recherchez et téléchargez la dernière application IBM Security Verify Bridge for Directory Sync à partir d'App Exchange.
    Cette application se compose d'un fichier .zip qui contient l'exécutable du programme d'installation et d'un fichier README.txt qui répertorie les modifications apportées à IBM Security Verify Bridge for Directory Sync.
    1. Accédez à https://exchange.xforce.ibmcloud.com/hub.
    2. Connectez-vous à App Exchange.
    3. Recherchez IBM Security Bridge.
    4. Sélectionnez IBM Security Verify Bridge for Directory Sync.
    5. Téléchargez l'application.
  2. Extrayez le fichier IBMSecurityVerifybridgeforDirectorySync_version.zip sur le système Windows cible.
    Le package redistribuable Windows Visual Studio 2017 64 bits doit être installé avant d'installer ce produit. Ce produit ne peut pas fonctionner sans ce package. S'il n'est pas déjà installé, il est installé lorsque vous exécutez le fichier setup_dirsync.exe.
  3. Exécutez setup_dirsync.exe.
    1. Cliquez deux fois sur setup_dirsync.exe.
    2. Sélectionnez une langue.
    3. Cliquez sur Installer.
      Si Windows Visual Studio 2017 64 bits redistribuable est installé par l'assistant, vous devrez peut-être redémarrer votre ordinateur et réexécuter setup_dirsync.exe.
    4. Dans l'assistant InstallShield , cliquez sur Suivant.
    5. Acceptez les termes et cliquez sur Suivant.
    6. Sélectionnez le répertoire d'installation et cliquez sur Suivant.
    7. Cliquez sur Installer.
    8. Cliquez sur Terminer.
  4. Configurez IcbLdapSync.json dans le répertoire d'installation.
    • Si vous effectuez une synchronisation à partir d'ISDS LDAP, copiez IcbLdapSync.json.isds-sample par dessus le fichier IcbLdapSync.json en cours pour fournir un point de départ.
    • Pour Active Directory, copiez le fichier IcbLdapSync.json.ad-sample dans le fichier IcbLdapSync.json pour fournir un point de départ approprié pour la synchronisation.
    Remarque: Avant d'apporter des modifications au fichier IcbLdapSync.json et d'exécuter une synchronisation d'annuaires, vérifiez que vous connaissez les attributs et les valeurs qui vont être synchronisés avec Verify.
    1. Définissez vos paramètres de connexion ISDS ou AD Server LDAP sous “cloud-bridge” -”ldap”.
      Si vous utilisez une connexion TLS au serveur LDAP, vérifiez que les certificats de signataire du serveur LDAP sont présents dans le magasin de certificats Windows sous RootCertification RootCertification Autorités > Compte d'ordinateur > Ordinateur local. Si votre serveur LDAP utilise un certificat qui n'est pas signé par une autorité de certification connue, utilisez la commande mmc avec le composant logiciel enfichable "certificate".
    2. Définissez vos paramètres de connexion au serveur Verify sous ibm-auth-api.
    3. Personnaliser d'autres valeurs, telles que ldap-search-filter , selon les besoins.
      L'exemple de filtre AD ignore tous les utilisateurs et groupes pour lesquels l'attribut isCriticalSystemObject est défini. Ces utilisateurs et groupes sont généralement les comptes d'ordinateur, les groupes de systèmes, les comptes invités et les comptes d'administrateur. L'exemple de filtre ISDS recherche les utilisateurs dotés de la classe d'objet person et les groupes dotés de la classe d'objet groupOfUniqueNames.
      Remarque :
      • Le processus IcbLdapSync.exe utilise le contrôle Active Directory LDAP DirSync. Pour avoir le droit d'utiliser le contrôle DirSync, le compte utilisateur qui exécute IcbLdapSync.exe doit avoir le droit directory get changes affecté à la racine de la partition surveillée. Par défaut, ce droit est affecté aux comptes administrateur et LocalSystem sur les contrôleurs de domaine. L'appelant doit également disposer du droit d'accès de contrôle étendu DS-Replication-Get-Changes. Pour plus d'informations, voir https://docs.microsoft.com/en-us/windows/win32/ad/polling-for-changes-using-the-dirsync-control.

      • Pour ISDS, le compte qui est utilisé pour y accéder doit avoir le droit d'utiliser le contrôle Paging et le droit de lire les entrées changelog .

      • Les droits d'accès suivants sont requis par le client API configuré :
        • Manage users and standard groups
        • Synchronize users and groups
      • Une fois la synchronisation commencée, vous ne pouvez pas ajouter ou retirer des attributs des attributs configurés qui sont en cours de synchronisation. Le produit ne peut pas ajuster rétroactivement les utilisateurs et les groupes synchronisés pour qu'ils correspondent à la modification de la configuration d'attribut. Assurez-vous que tous les attributs dont vous avez besoin sont configurés avant le premier appel.
  5. Ajoutez un brouillage aux secrets et au mot de passe du fichier de configuration IcbLdapSync.json .
    En tant que pratique de sécurité générale, ne placez pas des mots de passe et des secrets client en clair dans le fichier de configuration. Utilisez l'outil de brouillage IBM pour rendre illisibles les mots de passe et les secrets.
    Exemple :
    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myadminpassword
OfFE5gNch3u5cJbeTj10Mm2Mbd1yS4eQjzqihj0lz7jGIG9fK7vNqTS90EmebtaU

    C:\Program Files\IBM\DirectorySync>IcbLdapSync.exe -obf myclientsecret
tiWLbtgcT1k+PP0IwWyXlKsdGnTE3dDJ15ZCvHzj9YY=
    Ajoutez la valeur générée dans le fichier IcbLdapSync.json.
  6. Démarrer manuellement le service Windows.
    Le service IBM Security Verify Bridge for Directory Sync exécute le processus IcbLdapSync.exe . Une fois que le service fonctionne correctement, vous pouvez le modifier pour qu'il démarre automatiquement. La première exécution peut prendre un certain temps en fonction du nombre d'utilisateurs et de groupes en cours de synchronisation.