IcbLdapSync.exe の動作

オンラインで編集

IcbLdapSync.exeファイルは、 IBM® ( Security Directory Server )および Microsoft™ Windows™ Server( Active Directory )の同期に使用されます。

IBM の同期 Security Directory Server V6.4

IcbLdapSync.exe プロセスは、2 つの状態で実行されます。 Verify最初の状態では、ISDS からすべてのユーザーとグループが -SCIM ディレクトリにコピーされます。 この状態は 1 回のみ実行されます。 Verify2つ目の処理は、ISDSサーバーにおけるユーザーおよびグループの変更を監視し、それらの変更を-SCIMディレクトリに複製することです。
最初の状態
cookie.bin ファイルがない場合、最初の状態は一度のみ実行されます。 この状態では、一致するすべてのユーザーとグループがクラウド・ディレクトリーに初期同期されます。
注: 最初の状態が完了すると、次のような「情報」イベントが生成されますThe LDAP Sync server has completed its first pass of synchronization.このメッセージが生成されるまでは、プロセスを停止しないでください。 Verifyそうしないと、ISDSから_SCIMディレクトリへのレプリケーションが不完全になる可能性があります。
2 番目の状態は、定期的に実行される定常状態です。
Verifyこのステートが実行されるたびに、前回の実行後に追加された新しいISDS changelog エントリを検索し、その変更を-SCIMディレクトリに反映します。 LDAP 検索は、LDAP ページング制御を使用して、より小さな LDAP 検索に分割されます。

VerifyVerifyISDSエントリを対応する-SCIMエントリと同期させるため、-SCIMのユーザー属性 “externalId” およびグループ属性“description”には、対応するISDSエントリのDN値が設定されます。 Verify“externalId” 属性は大文字と小文字が区別されるのに対し、 LDAP の「DN」属性は大文字と小文字を区別しないため、-SCIMディレクトリへの保存や検索を行う前に、DNは小文字に変換されます。 この小文字への変換は、英語のマッピングを使用して、ASCII 文字「A」から「Z」に対してのみ実行されます。 この変換のため、トルコ語ロケールで問題が発生することがあります。 返される DN は UTF-8 であり、異なるロケールの文字が含まれている可能性があります。 DN のロケールの判別は試行されずに、1 つの項目へのすべての DN 参照で非 ASCII 文字には大/小文字の違いがないものと想定されます。

Microsoft Windows サーバーの同期 Active Directory

IcbLdapSync.exe プログラムの初回実行時には、cookie.bin ファイルは存在しません。 Active Directory の DirSync では、ディレクトリー内のすべての一致する項目が返されます。 多数のユーザーおよびグループが存在する場合、最初の同期に長時間かかることがあります。 DirSync は、後続の Active Directory の DirSync 検索では Cookie を返します。これにより、前の検索以降に行われた項目の変更のみが返されます。

コマンド・ライン

IcbLdapSync.exe の引数はすべてオプションです。

この使用法と動作の新しい点は以下のとおりです。
  • 使用法に製品バージョンが表示されます。
  • -version オプションを指定すると、製品バージョンが表示されます。
  • -run-changelog changenumber [instance] オプションを指定すると、指定した changelog エントリーが changenumber でフェッチされて処理された後に終了します。 このオプションは、LDAP サーバーが ISDS で、かつ最初のパスが完了した場合にのみ使用できます。
  • -utctimestamp オプションを指定すると、現在時刻が LDAP UTC タイム・スタンプ・ストリングとして出力されます。
Version: v1.0.7.0
Usage: one of the following:
-version             display product version.
-install [instance]  install the service.
-remove [instance]   remove the service.
-run [instance]      run on the command line not as a service.
-clean [instance]    remove matching entries in CI.
-run-changelog changenumber [instance]  run on the command line for just the one changelog entry
-utctimestamp        Output the current time as a UTC timestamp
-obf secret          to generated the obfuscated value of secret.
[instance]           run as a service, do not use on command line.
-?, -help            to output this help.

{instance} 引数を指定すると、IcbLdapSync.exe の追加の独立したインスタンスを同じホスト上で実行できます。 製品のインストール時に IcbLdapSync.exe -install が呼び出され、初期セットアップが作成されます。

Verify

複数インスタンス

IcbLdapSync.exe プロセスの複数インスタンスを構成して同じサーバーで実行できます。 この機能は、複数の Active Directory ドメインなどのレジストリを、1 Verify つのディレクトリまたは複数の Verify ディレクトリに複製する際に役立ちます。 新規インスタンスを構成するには、次のコマンドを呼び出します。

IcbLdapSync.exe -install {instance}

ここで、{instance} は、新規インスタンスに割り当てる名前に置き換えられます。 また、このコマンドは、新規インスタンス用の Windows サービスも構成します。 インスタンス固有のファイルは、初期インストール・ディレクトリー内の、インスタンスと同じ名前のディレクトリーの下に配置されます。 このディレクトリーには、インスタンス固有の JSON 構成ファイルが含まれています。 {instance} という名前は、ファイルシステムでフォルダ名として認められる文字で構成され、かつWindowsサービスの名前としても認められる文字で構成されている必要があります。